СПОСІБ ІДЕНТИФІКАЦІЇ БОТ-МЕРЕЖ У КОРПОРАТИВНИХ КОМП'ЮТЕРНИХ МЕРЕЖАХ НА ОСНОВІ АНАЛІЗУ DNS-ТРАФІКУ

摘要

Спосіб ідентифікації бот-мереж у корпоративних комп'ютерних мережах на основі їх групової активності в DNS-трафіку, що уможливлює уточнений поділ періоду моніторингу на інтервали, в межах яких здійснюється пошук груп інфікованих комп'ютерних систем, що ґрунтується на основі аналізу значень TTL, які містяться в DNS-повідомленнях, використовує нову ознаку синхронності DNS-запитів, а також враховує особливості поведінки груп інфікованих комп'ютерних систем, характерні для багатьох видів бот-мереж, що дозволило підвищити достовірність виявлення бот-мереж в порівнянні з відомими антивірусними програмними засобами на основі того, що ідентифікація бот-мереж здійснюється шляхом збору вхідного DNS-трафіку та співставлення з «білим» та «чорним» списками доменних імен, що дозволяє виявляти групи КС, які ігнорують TTL-період з подальшою побудовою вектора щільності розподілу запитів в часі для перевірки синхронності запитів і побудовою матриці спостереження для збору та аналізу вхідного DNS-трафіку та виявлення групової активності шляхом аналізу групових запитів щодо одного й того самого доменного імені і для цього побудовою нижньотрикутної матриці мір Браун-Бланке для порівняння груп для формування векторів ознак для пар групових запитів та аналізу векторів ознак для ідентифікації інфікованих комп'ютерних систем.