Спосіб ідентифікації бот-мереж у корпоративних комп’ютерних мережах на основі аналізу dns-трафіку

Реферат: Спосіб ідентифікації бот-мереж у корпоративних комп'ютерних мережах на основі їх групової активності в DNS-трафіку, що уможливлює уточнений поділ періоду моніторингу на інтервали, в межах яких здійснюється пошук груп інфікованих комп'ютерних систем, що ґрунтується на основі аналізу значень TTL, які містяться в DNS-повідомленнях, використовує нову ознаку синхронності DNS-запитів, а також враховує особливості поведінки груп інфікованих комп'ютерних систем, характерні для багатьох видів бот-мереж, що дозволило підвищити достовірність виявлення бот-мереж в порівнянні з відомими антивірусними програмними засобами на основі того, що ідентифікація бот-мереж здійснюється шляхом збору вхідного DNS-трафіку та співставлення з «білим» та «чорним» списками доменних імен, що дозволяє виявляти групи КС, які ігнорують TTL-період з подальшою побудовою вектора щільності розподілу запитів в часі для перевірки синхронності запитів і побудовою матриці спостереження для збору та аналізу вхідного DNS-трафіку та виявлення групової активності шляхом аналізу групових запитів щодо одного й того самого доменного імені і для цього побудовою нижньотрикутної матриці мір Браун-Бланке для порівняння груп для формування векторів ознак для пар групових запитів та аналізу векторів ознак для ідентифікації інфікованих комп'ютерних систем. UA 118663 U (12) UA 118663 U UA 118663 U 5 10 15 20 25 30 35 40 45 50 55 60 Корисна модель належить до інформаційної безпеки і може використовуватись для ідентифікації бот-мереж у корпоративних комп'ютерних мережах. Способи ідентифікації бот-мереж на основі їх групової активності в DNS-трафіку дають змогу ідентифікувати інфіковані комп'ютерні системи (КС), що здійснюють таку активність. Перевагами способів на основі DNS є: можливість здійснення ідентифікації бот-мереж на стадії створення їх інфраструктури; порівняно невеликий обсяг трафіку, а тому зменшення потреби в обчислювальних ресурсах, необхідних для аналізу; можливість ідентифікації бот-мереж виключно на основі спостереження за роботою комп'ютерних мереж, залишаючись непоміченим для зловмисника; на відміну від сигнатурних методів, здатність виявляти невідомі боти. В [1] запропоновано динамічну систему оцінки репутації доменних імен, яка використовує три групи ознак для побудови моделей легітимних та шкідливих доменів - мережні, зональні та доказові ознаки, на основі яких здійснюється оцінка репутації домена. Мережні ознаки доменів (загальна кількість IP-адрес, пов'язаних з доменним ім'ям; їх географічна локація; кількість різних номерів автономних систем (ASN) для них тощо) та зональні ознаки (середня довжина доменних імен; кількість різних доменів верхнього рівня для них; частота, з якою з'являються в доменному імені різні символи тощо) одержуються на базі аналізу DNS-запитів. Доказові ознаки базовані на даних "чорних списків" та систем-«приманок" і дозволяють визначити, в якій мірі домен пов'язаний з відомими шкідливими доменними іменами або ІР-адресами. В [2] запропоновано евристику для виявлення DNSBL-розвідувальної діяльності ботмайстра та складання списків ймовірних ботів. Для визначення, чи знаходяться спам-боти в "чорному списку", ботмайстер виконує DNSBL-запити. DNSBL (DNS blacklist) є списками хостів, що зберігаються з використанням системи DNS та застосовуються для боротьби зі спамом. Недоліком [7] способу є те, що він включає використання одного хоста для вхідного та вихідного поштового серверів. Проте, в великих мережах вони можуть бути розділені, і тоді запити від вхідного поштового сервера можуть бути розцінені, як спроба розвідки. В [3] запропоновано хост-орієнтований підхід, заснований на аналізі поведінки ботів і не ботів, пов'язаної з реакцією на DNS-відповіді. З метою створення надмірності та підвищення завадостійкості бот-мережі, окрім прямих спроб з'єднання через процедуру перетворення доменного імені, боти виконують зворотні DNS-запити для отримання додаткових доменних імен С&С-сервера. При цьому IP-адреси неуспішних зворотних DNS-запитів ігноруються доброякісним програмним забезпеченням, проте часто використовуються ботами та іншим шкідливим програмним забезпеченням (ШПЗ). Визначено чотири підозрілі процеси, що можуть мати місце в RD-поведінці (reaction-to-DNS response behavior, RD-behavior): (1) успішне пряме перетворення імені, підключення не відбулось - аномальний процес; (2) успішне зворотне перетворення імені, підключення не відбулось - притаманний для ШПЗ, в тому числі ботів; (3) неуспішне зворотне перетворення імені, підключення відбулось - притаманний для ШПЗ, в тому числі ботів; (4) неуспішне зворотне перетворення імені, підключення не відбулось - домінуючий для ботів. Спосіб [4] передбачає моніторинг, захоплення DNS-трафіку в різних часових інтервалах та вимірювання відношення подібності між будь-якими двома групами КС, що запитують одне й те саме доменне ім'я. Для обчислення значення подібності між групами КС використовується коефіцієнт Жаккара. Недоліком методу є те, що він спирається на групові запити лише однакових доменних імен, не враховуючи міграцій С&С-серверів та інших DNS-запитів, пов'язаних з діяльністю бот-мережі. Спосіб [5], орієнтований на виявлення ботів в мережах класу С, для обчислення подібності між двома групами КС використовує коефіцієнт Кульчинського. З метою виявлення міграцій С&С-серверів бот-мереж порівнюються списки IP-адрес КС, що запитували різні доменні імена, але які подібні за розмірами в межах 10 %. Недоліками [7] цього способу є значне зростання часу обробки та потреба у великих обсягах обчислювальних ресурсів при застосуванні до великих мереж, недостатня гнучкість механізму виявлення міграцій С&С-серверів та пов'язаних з функціонуванням бот-мережі DNS-запитів. Для визначення множини доменних імен бот-мережі, і таким чином виявлення міграцій С&Ссерверів, спосіб [6] використовує кластеризацію методом х-середніх (x-means) ознак, вилучених з DNS-трафіку. Виокремлено три групи таких ознак: (1) засновані на DNS-лексикології; (2) засновані на інформації, вилученій з DNS-запитів; (3) засновані на інформації, вилученій з DNSвідповідей. Перша група ознак об'єднує наступні ознаки, вилучені з доменного імені: (1) кількість міток в доменному імені; (2) середня довжина мітки домена; (3) найбільша довжина мітки домена; (4) наявність домена другого рівня, занесеного до "чорних списків". Друга група містить ознаки: (1) кількість надісланих запитів щодо доменного імені; (2) кількість різних ІР-адрес КС, що надсилали запити; (3) кількість різних номерів автономних систем (ASN), до яких належать 1 UA 118663 U 5 10 15 20 25 30 35 40 45 50 IP-адреси КС, що надсилали запити; (4) тип запиту (А, NS, CNAME, MX, PTR); (5) оцінка подібності груп КС для домена. До третьої групи віднесено ознаки: (1) кількість різних повернутих IP-адрес доменного імені; (2) кількість різних номерів автономних систем, до яких належать ІР-адреси доменного імені; (3) кількість різних країн локації IP-адрес доменного імені; (4) значення поля TTL в DNS-відповіді. З метою обчислення значення подібності між двома групами КС використовується косинусний коефіцієнт. Недоліками способу, описаного в [6] є те, що він орієнтований на виявлення ботів у великих розподілених мережах, тому не придатний для невеликих локальних мереж [7]. Коротка тривалість періоду моніторингу (одна година), зумовлена зменшенням ймовірності зміни динамічних IP-адрес як ідентифікаторів КС в мережі, призводить до неспроможності виявлення групових запитів, якщо повторний запит групи КС відбувся поза межами періоду моніторингу. Спільним недоліком способів [4, 5, 6, 7] є довільний поділ періоду моніторингу на інтервали, в межах яких здійснюється пошук груп інфікованих КС, що призводить до зменшення рівня виявлення. Іншим недоліком описаних методів є використання для порівняння двох груп КС симетричних мір подібності (Жаккара, Кульчинського, косинусного коефіцієнта), що є доцільним для оцінки подібності рівновеликих груп, тому може призводити до хибних спрацювань. Найближчим аналогом заявленого способу можна вважати мультиагентний спосіб локалізації бот-мереж у корпоративних комп'ютерних мережах [8] та спосіб виявлення комп'ютерних атак нейромережевою штучною імунною системою, описаний в [9]. У відомих аналогах є недостатньо висока достовірність ідентифікації нових бот-мереж. Задачею корисної моделі є підвищення достовірності ідентифікації бот-мереж у корпоративних комп'ютерних мережах на основі аналізу DNS-трафіку. Поставлена задача вирішується тим, що ідентифікація бот-мереж в корпоративних мережах ґрунтується на властивості групової активності ботів в DNS-трафіку [7]. Така активність проявляється в зосереджених в невеликому проміжку часу групових DNS-запитах КС під час спроб доступу до командно-контролюючих серверів, їх міграціях, виконанні команд або скачуванні оновлень шкідливого програмного забезпечення. При цьому враховуються особливості поведінки інфікованих груп КС, характерні для багатьох видів бот-мереж: групи КС ігнорують TTL-період DNS, тобто очищують локальні кеші DNS та здійснюють повторні запити щодо доменного імені до завершення TTL-періоду, а також здійснюють DNS-запити, використовуючи нелокальні DNS-сервери, і також відслідковується підвищена кількість порожніх DNS-відповідей з кодом помилки RCODE=3 (NXDOMAIN); враховується міграція С&С-серверів та інших DNS-запитів, пов'язаних з функціонуванням бот-мережі; враховується можлива зміна розмірів груп КС в результаті поширення ботів. Для оцінки різних за розмірами груп використано несиметричну міру подібності на відміну від [4, 5, 6], де для порівняння груп КС використовуються симетричні міри подібності, які доцільно використовувати для оцінки подібності рівновеликих груп. Спосіб передбачає збір лише DNS-трафіку і поділ періоду моніторингу на інтервали, в межах яких здійснюється пошук інфікованих груп КС, ґрунтується на основі врахування значень TTL, які містяться в DNSповідомленнях. Спосіб містить наступні кроки: 1) збір вхідного DNS-трафіку; 2) співставлення з "білим" та "чорним" списками доменних імен; 3) виявлення груп КС, які ігнорують TTL-період; 4) побудова вектора щільності розподілу запитів в часі для перевірки синхронності запитів; 5) побудова матриці спостереження для збору та аналізу вхідного DNS-трафіку; 6) виявлення групової активності шляхом аналізу групових запитів щодо одного й того самого доменного імені; 7) побудова нижньотрикутної матриці мір Браун-Бланке для порівняння груп; 8) формування векторів ознак для пар групових запитів; 9) аналіз векторів ознак для ідентифікації інфікованих КС.  Вхідний DNS-трафік збирається за допомогою множини мережних давачів   eii1 , де  - кількість давачів, підключених до дзеркалюючих портів комутаторів. Для відкидання легітимних DNS-запитів здійснюється співставлення зібраних даних з "білим" списком відомих легітимних доменних імен. Для виявлення DNS-запитів до відомих шкідливих доменних імен здійснюється співставлення зібраних даних з "чорним" списком відомих шкідливих доменних імен. На наступному етапі здійснюється виявлення груп КС корпоративної мережі, які ігнорують TTL-період. З цією метою КС очищають локальні кеші DNS для уможливлення здійснення  55 2 UA 118663 U 5 повторних DNS-запитів в межах TTL-періоду DNS. Для виявлення цього факту будується матриця спостереження VC , кожен рядок якої містить МАС-адреси КС, які здійснювали запити щодо конкретного доменного імені в межах TTL-періоду. Таким чином, рядки матриці VC містять МАС-адреси КС, які, ймовірно, здійснюють групову активність. Якщо МАС-адреса КС представлена в групі Gd, то у відповідній комірці матриці позначається "1", інакше - "0". Якщо КС повторно надсилала запит щодо доменного імені d, то МАС-адреса КС позначається "1" в рядку матриці VC , створеному для повторного запиту:  0, if h j  Gd V C h j,i   , w here j  1,  G , 0, if h j  Gd  h де j - МАС-адреси КС, які здійснювали DNS-запити щодо d в межах TTL, і - номер рядка матриці. Формування груп триває до спливання найбільшого значення TTL-періоду, отриманого в DNS-відповіді щодо повторного запиту.  Якщо G та Grep розміри груп для попереднього та повторного групових запитів,     G   Grep порогове значення подібності між двома групами і S-NG > Nc, то рядок матриці VC для повторного запиту відкидається. Для групових запитів, які не були відкинуті на цьому етапі, перевіряється їх синхронність. Побудова вектора щільності розподілу DNS-запитів в часі для перевірки синхронності DNSзапитів. Групи запитів синхронні, якщо спостерігається велика кількість запитів для доменного імені в межах часу, коли боти бот-мережі здійснюють запити - часу синхронізації ботів ts. Якщо інтервал часу між першим та останнім DNS-відгуками t для групового запиту щодо доменного імені d більший, ніж тривалість часового вікна ts, то інтервал часу t розбивається на z z  t ast  t f irst / 1 ts 3 , де t ast та t f irst - час надходження останнього та першого підінтервалів: DNS-відгуків щодо доменного імені d в межах TTL-періоду, протягом якого здійснюється пошук групової активності або зафіксовано групове очищення локальних кешів DNS. Такий поділ надає можливість мінімізувати кількість DNS-запитів, які не потрапили в інтервал ts (Фіг.1, а). Для групового запиту будується z-елементний вектор щільності розподілу запитів в часі   10 15 20  25  j1 , де Wd   j z 30  j - кількість запитів в межах z-го інтервалу. Для елемента вектора Wd з максимальним значенням max в межах у j  max  2 відшукуються два суміжні елементи з найбільшими значеннями таким чином, щоб всі три елементи описували розподіл запитів неперервного інтервалу часу, та обчислюється їх сума (Sums). Якщо 1  Sum s  Sumr   Sumr , то множини МАС-адрес груп КС в матриці VC об'єднуються, і груповий запит підлягає подальшому аналізу, інакше така група відкидається, де 35 40 Sumr - сума значень решти елементів вектора Wd (Фіг.1, б). З метою збору та подальшого аналізу вхідного DNS-трафіку для кожного визначеного інтервалу часу моніторингу tm будується матриця спостереження Мm, m - номер ітерації спостереження. Вона містить доменні імена di запитані групами КС; МАС-адреси груп КС hj, отримані з матриці VC ; ознаку звертання до локальних/нелокальних DNS-серверів, S, ознаку повторного запиту в межах TTL-періоду, F; ознаку наявності у DNS-відповідях коду помилки NXDOMAIN, R; ознаку "інфікований" чи "підозрілий" щодо групи КС, отриману на проміжних етапах аналізу, М; номер ітерації спостереження, на якій зафіксовано ознаку "підозрілий", N; кількість КС у групі, NG. Якщо було виявлено синхронність запитів, то множини МАС-адрес hj груп КС переносяться з матриці VC до матриці спостереження М . m 45 Якщо було виявлено групове очищення локальних кешів DNS, то у комірці матриці спостереження Mm(di, F) позначається "1", інакше - "0":     0, if n ht  1     ,  j  m d, F    1, if    ,  . (2) 3 UA 118663 U   n ht j де - кількість появ МАС-адреси КС в t . Якщо група КС надсилала запити щодо доменного імені di, як до локального, так і до інших DNS-серверів, то у комірці матриці спостереження Mm(di, S) позначається "0", якщо лише до локального DNS-сервера - "0.5", якщо лише до нелокальних DNS-серверів - "1":    5 10 15 20   25  0, if      j,k,i,IP   d,k ,i,IP  m d, F   0,5, if  d,k,i,IP    1 if  d,k,i,IP   ,  , (3) де  - множина IP-адрес локальних DNS-серверів мережі. Якщо DNS-відгуки для групи містили код помилки NXDOMAIN, то у комірці матриці спостереження Mm(di, R) позначається "1", інакше "0": , 1 if  j, k, HD, RC  3, m d, R     0 otherw ise . (4) Комірки матриці спостереження Mm(di, M) та Mm(di, N) заповнюються нулями. В комірку матриці спостереження Mm(di, NG) заноситься кількість МАС-адрес, представлених у відповідній групі. Для зниження рівня хибних спрацювань прийнято пороговий розмір інфікованих груп nt=4, які можуть бути виявлені запропонованим способом. DNS-запити груп меншого розміру відкидаються. Для порівняння двох груп КС G1 та G2, які надсилали DNS-запити щодо двох доменних імен d1 та d2 в інтервалах часу t 1, та t 2 відповідно, використано коефіцієнт Браун-Бланке [7], який є несиметричною мірою подібності, а тому придатний для оцінки різних за розмірами груп і дозволяє оцінити подібності двох груп КС з високою точністю: 0   G1 , G2   , max  G1 ,  G2 (5) де No - кількість спільних елементів в групах G1 та G2; NG1 та NG2 - кількість КС в групах G1 та G2 відповідно; B (G1, G2 )  0,1. Якщо кількість порівнюваних груп більша двох, то для оцінки подібності груп КС використовується індекс дисперсності Коха [7]: C   G1,..., Gq  , q  1  (6) де G1,…,Gq - порівнювані групи КС; q - кількість порівнюваних груп;   C  iq 1 Gi  30 - загальна кількість МАС-адрес в усіх групах;  (G ,..., Gq )  0,1. А - кількість різних МАС-адрес, представлених в групах;  1 . Групи КС вважатимуться інфікованими, якщо коефіцієнт подібності для груп перевищує порогове значення     або     , де  - порогове значення подібності. Крім цього введено 35 додатково порогове значення подібності  , яке вказує на підозрілість груп КС, якщо       або       . Як ідентифікатори КС в мережі використано МАС-адреси за умови забезпечення запобігання підміни МАС-адрес. На наступному етапі здійснюють аналіз матриці спостереження Мm з метою виявлення групових запитів щодо однакових доменних імен. Для цього порівнюють групи за МАСадресами. В залежності від кількості групових запитів щодо певного доменного імені d обирається коефіцієнт Браун-Бланке для порівняння двох груп або індекс дисперсності Коха для 3 і більше груп (Фіг. 2, а). Якщо результат порівняння перевищує поріг     або     , 40 то групи КС вважаються інфікованими. Якщо результат порівняння становить       або       , то здійснюється додатковий аналіз матриці спостереження Мm щодо наявності факту ігнорування TTL-періоду групами, Mm(d1,F)=1, та використання групами нелокальних DNS-серверів, Mm(d1,S) = 1. Якщо для будьякого з групових запитів спостерігалось групове ігнорування TTL-періоду або для всіх запитів 4 UA 118663 U 5 10 15 спостерігалось звертання до нелокальних DNS-серверів, то групи КС вважаються інфікованими. Інакше, групи КС вважаються підозрілими. Якщо групи, які запитували одне й те саме доменне ім'я, визначені інфікованими або підозрілими, то множини їх МАС-адрес об'єднуються в один рядок для доменного імені d в матриці спостереження Мm (Фіг. 2, б) з метою подальшого пошуку пов'язаних з групою DNSзапитів. Якщо група КС була визначена як інфікована, то в комірці матриці спостереження Mm(d, M) проставляється "1", якщо група КС була визначена як підозріла - "0.5": ,  1 if  G1,..., Gn   inf ected ,  m d,     0,5, if  G1,..., Gn   suspicious . (7)  Якщо група КС була визначена інфікованою, доменне ім'я d заноситься до списку шкідливих доменних імен. У випадку об'єднання множин МАС-адрес КС комірки матриці спостереження Мm заповнюються за наступними правилами. Якщо для будь-якого з групових запитів спостерігалось групове ігнорування TTL-періоду, в комірці матриці спостереження Mm(d, F) проставляється "1", інакше - "0": ,  1 if  F  1, m d, F   0 otherw ise, (8)    20  G  F F m dj, F jnG  . 1  де Якщо запити груп КС здійснювались як до локального, так і до інших DNS-серверів, то у комірці матриці спостереження Mm(d, S) проставляється "0"; якщо запити груп здійснювались лише до локального DNS-сервера, то у комірці матриці спостереження Mm(d, S) проставляється "0.5", якщо запити груп здійснювались до нелокальних DNS-серверів, то у комірці матриці спостереження Mm(d, S) проставляється "1": 0,5, if  S  0,5 ,   m d, S    1, if  S  1,  0 otherw ise ,  (9)   25   G  S S  m d j, S jnG  . 1 де  Якщо DNS-відгуки для останньої групи КС містили код помилки NXDOMAIN, то у комірці матриці спостереження Mm(d, R) проставляється "1", інакше "0": , 1 if m dGn , R  1, m d, R    0 otherw ise, (10)     40  d ,R де m Gn - значення комірки для групи КС, що останньою запитувала доменне ім'я. В комірках матриці спостереження Mm(d, N) для груп КС, які вважаються підозрілими, проставляється номер ітерації спостереження: Mm(d, N) = m. (11) Якщо жодна з умов не задовольняється, то групові запити для таких доменних імен видаляються з матриці спостереження Мm. На наступному етапі на основі матриці спостереження Мm будується нижньотрикутна матриця мір Браун-Бланке Вm, Ознаки NG, S,F, R,M, N з матриці Мm переносяться до матриці Вm. Рядки матриці Вm формуються за зростанням кількості МАС-адрес в групах NG, по стовпцях. Також, в матрицю Вm заносяться коефіцієнти Браун-Бланке, обчислені для пар груп КС (Фіг. 3). Обчислення значень комірок для кожного стовпця припиняється, якщо NGi/NGi+1