(Секция «Информационная безопасность»
УДК 004.056.57
ОБНАРУЖЕНИЕ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ С NGDGA
ДОМЕНАМИ
Я. В. Пигалев, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: pigalevyan1998@mail.ru
В работе приведен алгоритм по обнаружению информационного взаимодействия с NGDGA доменами, представлен процесс создания словаря слов NGDGA, на основе которого происходит обнаружение.
Ключевые слова: информационная безопасность, DNS, Domain Generation Algorithm. DETECTION OF INFORMATIONAL INTERACTION WITH NGDGA DOMAINS
Y.V. Pigalev, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: pigalevyan 1998@mail.ru
The detection of informational interaction with NGDGA domains is considered in the paper. NGDGA words dictionary creation process, on the basis of which NGDGA domains are detected, is presented.
Keywords: information security, DNS, Domain Generation Algorithm.
Для передачи информации и получения команд управления вредоносное программное обеспечение (ВПО) со скомпрометированных объектов информационной системы организует взаимодействие с серверами управления (C&C, Command and Control Server) с помощью алгоритма генерации доменных имен - Domain Generation Algorithm (DGA).
Сейчас существует множество вариантов классификации этих доменных имен, авторами уже предлагался классификатор таких имен, однако вместе с этим ВПО также развивается: на смену обычным DGA именам, которые представляют собой набор из случайных символов, пришли NGDGA (New Generation DGA) [1][2].
Устоявшиеся методы классификации не подходят для NGDGA: эти имена генерируются по иным принципам - основой принцип состоит в генерации на основе словаря NGDGA, составленного из осмысленных слов.
Таким образом, сгенерированные на основе NGDGA имена будут иметь смысл на человеческом языке - и старые классификаторы, задачей которых было обнаруживать DGA имена, составленные из случайных символов, не смогут относить новые имена к классу «вредоносное» так же точно.
Следовательно, можно сделать вывод, что инструменты, позволяющие обнаруживать DGA имена не являются эффективными для задачи обнаружения NGDGA имен -необходимо изменение или дополнение алгоритма.
Таким образом, необходима разработка инструмента, который может обнаруживать как DGA, так и NGDGA домены.
Актуальные проблемы авиации и космонавтики - 2022. Том 2
Авторами уже приводился алгоритм по обнаружению БОЛ, поэтому далее будет представлено описание алгоритма классификации КОБОЛ имен [1][2].
Для генерации таких имен злоумышленниками используются словари КОБОЛ, в которых собраны слова, из которых составляются КОБОЛ имена. Поэтому, для обнаружения предлагается собирать имена, классифицированные как КОБОЛ, и составлять из них эти словари посемейно.
Для получения словарей КОБОЛ используются выборки КОБОЛ имен, для каждой комбинации доменных имен, находится наибольшее по длине общее слово, это слово записывается в словарь, схема построения словаря представлена на рисунке 1.
Словарь
hold я11лиг create honest financial learn
Рис. 1. Схема построения словаря
Далее словарь будет использоваться для непосредственного обнаружения.
Если очередное доменное имя содержит как минимум 2 слова, которые принадлежат к словарю NGDGA какой-либо семьи ВПО и имеет такой же домен верхнего уровня (top level domain, TLD), как у этой семьи, то принимается решение, что это сгенерированное на основе словаря NGDGA имя (то есть, NGDGA-сгенерированное имя).
После отнесения имени к вредоносному классу, словарь дополняется.
Для генерации словарей предлагается использовать выборки от Netlab OpenData Project [3].
Предложенный алгоритм предлагается использовать при разработке инструмента по обнаружению DGA имен различной структуры вместе с классификатором обычных DGA имен, основанном на машинном обучении - например, доменные имена, классифицированные не как DGA, предлагается дополнительного классифицировать с помощью представленного алгоритма.
Библиографические ссылки
1. Пигалев Я.В., Жуков В.Г. Обнаружение информационного взаимодействия объектов информационной системы с DGA доменами [Электронный ресурс]. URL: https://apak. sibsau.ru/page/materials. (дата обращения 16.02.2022).
2. Пигалев Я.В., Жуков В.Г. Обогащение результатов обнаружения DGA доменов информацией из внешних источников [Электронный ресурс]. URL: https://disk.sibsau.ru/ index.php/s/yyqSUlfERLyOw4v (дата обращения 17.02.2022).
3. Netlab OpenData Project [Электронный ресурс]. URL: https://data.netlab.360.com/dga/ (дата обращения 18.02.2022)
© Пигалев Я. В., Жуков В. Г., 2022