Information Technology and Security, Vol. 11, Iss. 2 (21)

Постійне посилання зібрання

https://ela.kpi.ua/handle/123456789/65097

Переглянути

Перегляд Information Technology and Security, Vol. 11, Iss. 2 (21) за Автор "Кійко, Едуард"

Зараз показуємо 1 - 1 з 1
  • Ескіз
    ДокументВідкритий доступ
    Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA
    (National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute", 2023) Журавчак, Даниїл; Кійко, Едуард; Дудикевич, Валерій
    У сучасному світі, де інтернет став невід'ємною частиною функціонування державних та корпоративних установ, цілісність та доступність інформації стає ключовим питанням для багатьох організацій та індивідуальних користувачів. Особливо актуальним є питання захисту від вірусів-крипторів та атак, зокрема, за допомогою DGA (Domain Generation Algorithms) – методу, який використовують зловмисники для автоматичної генерації доменних імен для комунікації клієнт-сервер (Command & Control) у екосистемі вірусів на базі протоколу DNS, що ускладнює їх виявлення та блокування через особливості використання DNS у сучасних комʼютерних мережах. З огляду на зростання кількості атак, що використовують DGA, з'являється необхідність в розробці нових методів, що будуть швидші та зможуть аналізувати великі потоки трафіку у режимі реального часу, та забезпечать функціонал для їх виявлення та блокування. eBPF (extended Berkeley Packet Filter) — це сучасний інструмент, що дозволяє створювати невеликі програми для моніторингу та аналізу різних аспектів роботи системи в реальному часі, включаючи мережевий трафік. Дані програми виконуються безпосередньо у ядрі операційної системи та / або на рівні мережевої карти. У цьому дослідженні ми розглядаємо можливість застосування eBPF для виявлення DGA-активності в DNS-трафіку. Мета – визначити ефективність виявлення вірусів-вимагачів у режимі реального часу. Було розроблено лабораторне середовище для аналізу вірусів-вимагачів, у якому велася розробка модулів на базі eBPF, їхнє тестування та симуляція атаки.. Крім цього було налаштовано хмарне середовище аналізу даних на базі Splunk і на базі даного аналізу розроблені правила виявлення атаки типу DGA. Стаття представляє результати розробки програми на базі eBPF для аналізу DNS-трафіку, проведення атак DGA, та методи їх виявлення. Ці результати можуть стати важливим внеском у розробку стратегій захисту від маліційних атак в мережі.