Skip navigation
DSpace logo
  1. Репозиторий БГУИР
  2. Журнал "Доклады БГУИР"
  3. 2021
  4. № 19(2)
Please use this identifier to cite or link to this item: https://libeldoc.bsuir.by/handle/123456789/43269
Title: Обнаружение DGA доменов и предотвращение botnet средствами Q-обучения для POMDP
Other Titles: DGA domain detection and botnet prevention using Q-learning for POMDP
Authors: Бубнов, Я. В.
Иванов, Н. Н.
Keywords: доклады БГУИР;компьютерные сети;компьютерная безопасность;Q-обучение;генерирование доменов;computer networks;computer security;Q-learning;domain generation
Issue Date: 2021
Publisher: БГУИР
Citation: Бубнов, Я. В. Обнаружение DGA доменов и предотвращение botnet средствами Q-обучения для POMDP / Бубнов Я. В., Иванов Н. Н. // Доклады БГУИР. – 2021. – № 19(2). – С. 91–99. – DOI: http://dx.doi.org/10.35596/1729-7648-2021-19-2-91-99.
Abstract: Предлагается эффективный метод предотвращения эксплуатации узлов компьютерной сети для организации botnet. Под botnet подразумевается совокупность устройств, объединенных через сеть Интернет с целью организации DDoS-атак, кражи данных, рассылки спама и других вредоносных действий. Описанный метод подразумевает детектирование сгенерированных доменных имен в DNS запросах с помощью нейронной сети с параллельной организацией сверточных и двунаправленных рекуррентных слоев. Эффективность метода базируется на предположении, что для создания botnet используют генерируемые доменные имена для объединения. Эксперименты подтверждают, что предлагаемая нейронная сеть превосходит точность существующих аналогов на наборе данных UMUDGA. Вычисляется оценка качества распознавания сгенерированных доменных имен с помощью ROC-анализа для обученной нейронной сети. В статье также формулируется модель управления детекторами с помощью частично наблюдаемого марковского процесса принятия решений для блокировки зараженных узлов компьютерной сети. Предлагается поиск оптимальной политики для сформулированной модели средствами Q-обучения ценностных агентов. Производится сравнительный анализ по средней, минимальной и максимальной ценности принимаемых агентами действий в процессе взаимодействия с окружением.
Alternative abstract: An effective method for preventing the operation of computer network nodes for organizing a botnet is proposed. A botnet is a collection of devices connected via the Internet for the purpose of organizing DDoS attacks, stealing data, sending spam and other malicious actions. The described method implies the detection of generated domain names in DNS queries using a neural network with parallel organization of convolutional and bidirectional recurrent layers. The effectiveness of the method is based on the assumption that generated domain names are used to create a botnet for merging. Experiments confirm that the proposed neural network is superior to the accuracy of existing counterparts on the UMUDGA dataset. The estimation of the quality of recognition of generated domain names using ROC analysis is calculated for a trained neural network. The article also formulates a model for controlling detectors using a partially observable Markov decision-making process to block infected nodes of a computer network. The search for the optimal policy for the formulated model by means of Q-learning of value agents is proposed. A comparative analysis of the average, minimum and maximum value of actions taken by agents in the process of interacting with the environment is carried out.
URI: https://libeldoc.bsuir.by/handle/123456789/43269
Appears in Collections:№ 19(2)

Files in This Item:
File Description SizeFormat 
Bubnov_Obnaruzheniye.pdf1.28 MBAdobe PDFView/Open
Show full item record Google Scholar

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.