| Abstract: | Современное вредоносное программное обеспечение использует систему доменных имен как способ организации канала коммуникации с удаленным злоумышленником. Во-первых, данный канал используется для передачи украденной информации, корпоративных секретов, интеллектуальной собственности путем кодирования и инкапсуляции данных в запрашиваемое доменное имя, а саму методику называют туннелированием системы доменных имен. Во-вторых, образованный канал используют для получения команд от удаленного злоумышленника, в частности для организации распределенной ботнет-сети. Данную методику называют генерированием доменных имен, так как основной задачей является сокрытие реального месторасположения серверов злоумышленника. В диссертационной работе ставится задача разработать эффективные способы обнаружения несанкционированного доступа к узлам компьютерной сети средствами туннелирования системы доменных имен, а также усовершенствовать существующие способы определения генерируемых доменных имен. Помимо этого, стоит задача определить наиболее эффективное использование детекторов независимо от конфигурации компьютерной сети. Эффективность способов оценивается с помощью быстродействия и вычислительной сложности алгоритмов, обеспечивающих безопасность сети.Исходя из предположения об использовании для организации рассматриваемых видов атак исключительно секции DNS-запроса, выдвигается гипотеза о возможности использования методов обработки естественных языков с целью детектирования угроз. Таким образом, в работе рассматриваются нейросетевые модели для классификации доменных имен и анализируется применимость моделей для детекции DNS-туннелирования в задаче классификации сгенерированных доменных имен. В работе рассматривается метод эффективного использования предложенных детекторов. Исходя из влияния внедренного детектора на производительность системы доменных имен, моделируется частично наблюдаемый марковский процесс принятия решения. Рассматриваемый процесс принятия решения определяет политику управления детекторами для изоляции зараженных узлов компьютерной сети. Предлагается альтернативный вариант выбора узлов для блокировки, эта задача моделируется скрытым марковским процессом. Данный подход учитывает возможность применения злоумышленником новых инструментов зашумления детекторов и алгоритмов генерирования доменных имен. |
