Текстовый анализ DNS запросов для защиты компьютерных сетей от эксфильтрации данных

Предлагается эффективный способ защиты компьютерных сетей от эксфильтрации данных через систему доменных имен (англ. Domain Name System, DNS), которая представляет собой способ сокрытия передачи конфиденциальной информации удаленному злоумышленнику путем инкапсуляции данных в запрашиваемое доменное имя. Рассматриваются DNS-запросы, в которых передается украденная информация, c зараженного вредоносной программой узла на внешний узел, управляемый злоумышленником. Описывается подход для обнаружения подобных запросов с помощью текстовой классификации доменных имен сверточной нейронной сетью. Эффективность подхода базируется на предположении, что доменные имена, используемые для эксфильтрации данных, отличаются от доменных имен, сформированных из слов естественного языка. Для классификации запросов в сверточной нейронной сети предлагается использовать символьное встраивание с целью представления строки доменного имени. Производится оценка качества распознавания эксфильтрации данных через DNS с помощью ROC-анализа для обученной нейронной сети.

Демонстрируется архитектура программного обеспечения для развертывания обученной нейронной сети в существующую инфраструктуру DNS с целью практической защиты компьютерных сетей от эксфильтрации данных. Архитектура подразумевает формирование зон с политикой ответов для блокировки отдельных запросов, классифицируемых как вредоносные.

1. Zhong, X. Stealthy malware traffic - not as innocent as it looks / X. Zhong, Y. Fu, R. Brooks // Malicious and Unwanted Software (MALWARE) : 10th Intern. Conf., Fajardo, 20-22 Oct. 2015. - Fajardo, 2015. - P. 110-116.

2. On botnets that use DNS for command and control / C. Deitrich [et al.] // Computer Network Defense : 7th European Conf. on Computer Network Defense, Gotheburg, 6-7 Sept. 2011. - Gotheburg, 2011. - P. 9-16.

3. Valenzuela, I. Game changer: identifying and defending against data exfiltration attempts [Electronic resource] // SANS Cyber Security Summit Archive. - 2015. - Mode of access: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1493840468.pdf. - Date of access: 15.02.2020.

4. Bubnov, Y. DNS tunneling queries for binary classification [Electronic resource] / Y. Bubnov // Mendeley Data. - N. Y., 2019. - Vol. 1. - Mode of access: https://data.mendeley.com/datasets/mzn9hvdcxg/1. - Date of access: 15.02.2020.

5. A bigram based real time DNS tunnel detection approach / C. Qi [et al.] // Procedia Computer Science. - 2013. - Vol. 17. - P. 852-860.

6. Born, K. Detecting DNS tunneling using character frequency analysis / K. Born, D. Gustafson // Proc. of the 9th Annual Security Conf., Las Vegas, 7-8 Apr. 2010. - Las Vegas, 2010. - P. 2-3.

7. Nadler, A. Detection of malicious and low throughput data exfiltration over the DNS protocol / A. Nadler, A. Aminov, A. Shabtai. - 2018. - Mode of access: https://arxiv.org/abs/1709.08395. - Date of access: 15.02.2020.

8. Berg, A. Identifying DNS-tunneled Traffic with Predictive Models [Electronic resource] / A. Berg, D. Forsberg. - 2019. - Mode of access: https://arxiv.org/abs/1906.11246. - Date of access: 12.01.2020.

9. Лукацкий, А. Об утечках через DNS, которые не ловит ни одна DLP [Электронный ресурс] / А. Лукацкий // Бизнес без опасности. - 2018. - Режим доступа: https://www.securitylab.ru/blog/personal/Business_without_danger/343229.php. - Дата доступа: 07.05.2020.

10. Mockapetris, P. Domain names - implementation and specification [Electronic resource] / P. Mockapetris // Internet Standard, ISI. - 1987. - Mode of access: https://tools.ietf.org/html/rfc1035. - Date of access: 15.02.2020.

11. Character-aware Neural Language Models [Electronic resource] / Y. Kim [et al.]. - 2016. - Mode of access: https://arxiv.org/abs/1508.06615. - Date of access: 12.01.2020.

12. Watson, D. Utilizing Character and Word Embedding for Text Normalization with Sequence-to-Sequence Models [Electronic resource] / D. Watson, N. Zalmout, N. Habash. - 2019. - Mode of access: https://arxiv.org abs/1809.01534. - Date of access: 12.01.2020.

13. Gal, Y. A Theoretically Grounded Application of Dropout in Recurrent Neural Networks [Electronic resource] / Y. Gal, Z. Ghahraamni. - 2016. - Mode of access: https://arxiv.org/abs/1512.05287. - Date of access: 12.01.2020.

14. Self-normalizing Neural Networks [Electronic resource] / G. Klambauer [et al.] - 2017. - Mode of access: https://arxiv.org/abs/1706.02515. - Date of access: 12.01.2020.

15. Kingma, D. Adam: a method for stochastic optimization / D. Kingma, J. Ba // 3rd Intern. Conf. for Learning Representations, San Diego, 7-9 May 2015. - San Diego, 2015. - 15 p.

16. Nygren, E. The Akami network: a platform for high-performance internet applications / E. Nygren, Sitaraman, J. Sun // ACM SIGOPS Operating Systems Review. - 2010. - Vol. 44, iss. 3. - P. 2-19.