Detekce škodlivých domén za pomoci analýzy pasivního DNS provozu / Detection of Malicious Domains Using Passive DNS Analysis

Doležal, Jiří

January 2014

Tato diplomová práce se zabývá detekcí škodlivých domén za pomoci analýzy pasivního DNS provozu, návrhem a implementací vlastního systému detekce. Provoz DNS se stává terčem mnoha útočníků, kteří využívají toho, že služba DNS je nezbytná pro fungování Internetu. Téměř každá internetová komunikace totiž začíná DNS dotazem a odpovědí. Zneužívání služby DNS nebo využívání slabin této služby se projevuje anomálním chováním DNS provozu. Tato práce obsahuje popis různých metod používaných pro odhalování anomálií a škodlivých domén v DNS datech. Hlavní částí práce je návrh a implementace systému pro detekci škodlivých domén. Implementovaný systém byl testován na DNS datech získaných z reálného provozu.

DNS Traffic Analysis for Network-based Malware Detection

Vu Hong, Linh

January 2012

Botnets are generally recognized as one of the most challenging threats on the Internet today. Botnets have been involved in many attacks targeting multinational organizations and even nationwide internet services. As more effective detection and mitigation approaches are proposed by security researchers, botnet developers are employing new techniques for evasion. It is not surprising that the Domain Name System (DNS) is abused by botnets for the purposes of evasion, because of the important role of DNS in the operation of the Internet. DNS provides a flexible mapping between domain names and IP addresses, thus botnets can exploit this dynamic mapping to mask the location of botnet controllers. Domain-flux and fast-flux (also known as IP-flux) are two emerging techniques which aim at exhausting the tracking and blacklisting effort of botnet defenders by rapidly changing the domain names or their associated IP addresses that are used by the botnet. In this thesis, we employ passive DNS analysis to develop an anomaly-based technique for detecting the presence of a domain-flux or fast- flux botnet in a network. To do this, we construct a lookup graph and a failure graph from captured DNS traffic and decompose these graphs into clusters which have a strong correlation between their domains, hosts, and IP addresses. DNS related features are extracted for each cluster and used as input to a classication module to identify the presence of a domain-flux or fast-flux botnet in the network. The experimental evaluation on captured traffic traces veried that the proposed technique successfully detected domain-flux botnets in the traces. The proposed technique complements other techniques for detecting botnets through traffic analysis. / Botnets betraktas som ett av de svåraste Internet-hoten idag. Botnets har använts vid många attacker mot multinationella organisationer och även nationella myndigheters och andra nationella Internet-tjänster. Allt eftersom mer effektiva detekterings - och skyddstekniker tas fram av säkerhetsforskare, har utvecklarna av botnets tagit fram nya tekniker för att undvika upptäckt. Därför är det inte förvånande att domännamnssystemet (Domain Name System, DNS) missbrukas av botnets för att undvika upptäckt, på grund av den viktiga roll domännamnssystemet har för Internets funktion - DNS ger en flexibel bindning mellan domännamn och IP-adresser. Domain-flux och fast-flux (även kallat IP-flux) är två relativt nya tekniker som används för att undvika spårning och svartlistning av IP-adresser av botnet-skyddsmekanismer genom att snabbt förändra bindningen mellan namn och IP-adresser som används av botnets. I denna rapport används passiv DNS-analys för att utveckla en anomali-baserad teknik för detektering av botnets som använder sig av domain-flux eller fast-flux. Tekniken baseras på skapandet av en uppslagnings-graf och en fel-graf från insamlad DNS-traffik och bryter ned dessa grafer i kluster som har stark korrelation mellan de ingående domänerna, maskinerna, och IP-adresserna. DNSrelaterade egenskaper extraheras för varje kluster och används som indata till en klassifficeringsmodul för identiffiering av domain-flux och fast-flux botnets i nätet. Utvärdering av metoden genom experiment på insamlade traffikspår visar att den föreslagna tekniken lyckas upptäcka domain-flux botnets i traffiken. Genom att fokusera på DNS-information kompletterar den föreslagna tekniken andra tekniker för detektering av botnets genom traffikanalys.

DNS analysis

domain-flux

fast-flux

network-based malware detection

intrusion detection

Communication Systems

Kommunikationssystem

Développement de modèles de turbulence adaptés à la simulation des écoulements de convection naturelle à haut nombre de Rayleigh / Turbulence modeling of natural convection flows at high Rayleigh number

Vanpouille, David

06 December 2013

Un nouveau modèle de turbulence adapté aux écoulements turbulents soumis à laflottabilité a été développé en utilisant la configuration du canal plan vertical différentiellementchauffé comme référence. L’étude des DNS disponibles pour chacun des régimes de convection amontré les défauts des relations constitutives classiques conduisant à la mauvaise représentationdes écoulements de convection naturelle. Ces modèles ne prennent en compte ni le couplage deschamps thermique et dynamique ni l’anisotropie de l’écoulement, tout deux induits par la flottabilité.Une approche algébrique a donc été utilisées. L’hypothèse d’équilibre local a été validéedans une large partie du canal sauf dans la région de paroi et au voisinage d’un gradient devitesse nul, quel que soit le régime de convection. Les modèles homogènes et pariétaux pour lescorrélations de pression ont été étudiés et sélectionnés. Deux modèles EARSM et EAHFMprenant en compte les termes de flottabilité ont été développés. Ces modèles intègrent aussi destraitements spécifiques à la paroi reposant sur la pondération elliptique. Ils sont couplés à unmodèle corrigé pour mieux représenter le pic d’énergie cinétique turbulente prèsde la paroi. Le modèle complet a été confronté aux DNS sur la configuration du canal pourchacun des régimes de convection à travers des tests a priori et des calculs complets montrantdes résultats très encourageants et de meilleures prévisions que les modèles classiques. / A new turbulence model dedicated to buoyant flows is developped using the differentiallyheated vertical plane channel flow configuration as test case. For each convection regime,the examination of available DNS databases pointed out the failure of classical modeling topredict buoyant flows. Neither the coupling between thermics and dynamics nor the anisotropy,both due to the buoyancy, are considered by these models. So, algebraic models are used. Theweak equilibrium assumption is validated in a large part of the channel except in the wall regionand close to zero velocity gradient whatever the convection regime. The wall and homogeneousmodels for the pressure terms are investigated and selected. Then, an EARSM and an EAHFMare developped to include the buoyant terms. These models both include wall treatments. Theyare coupled with a model modified to improve the representation of the turbulentkinetic energy maximum close to the wall. The complete model is finally compared to theDNS on the channel flow configuration for all convection regime thanks to a priori tests andcomplete computations, showing encouraging results and better predictions than classical models

Turbulence

Modèles algébriques

Earsm

Eahfm

Flottabilité

Convection naturelle

Pondération elliptique

Corrélations de pression

Analyse de DNS

Turbulence

Algebraic models

EARSM

EAHFM

Buoyancy

Natural convection

Elliptic blending

Pressure correlations

DNS analysis

532