Advance Approach for Detection of DNS Tunneling Attack from Network Packets Using Deep Learning Algorithms

Domain Name System (DNS) is a protocol for converting numeric IP addresses of websites into a human-readable form. With the development of technology, to transfer information, a method like DNS tunneling is used which includes data encryption into DNS queries. The ability of the DNS tunneling method of transferring data attracts attackers to establish bidirectional communication with machines infected with malwares. This can lead to sending instructions in an obfuscated way or can lead to data exfiltration. Since firewalls and intrusion detection systems detect only specific types of tunneling, were as the Machine Learning Algorithms can analyze and predict based on previous data provided to it, it is being adopted by researchers to detect and predict the occurrence of DNS Tunneling. The identification of anomalies in Network packets can be done by using Natural Language Processing (NLP) technique. The experimental test accuracy showed that the feature extraction method in NLP for detecting DNS tunneling in network packets was found to be 98.42% on the generated Dataset. This paper makes a comparative study of 1 Dimensional Convolution Neural Network (1-D CNN), Simple Recurrent Neural Network (Simple RNN), Long Short-Term Memory (LSTM) algorithm, Gated Recurrent Unit (GRU) algorithm for detecting DNS Tunneling over the generated dataset. To detect this threat of DNS tunneling attack, good quality of the dataset is required. This paper also proposes the generation of a good quality dataset that contains network packets, by the recreation of DNS Tunneling attack using tool dnscat2

Detection of DDoS Attacks in Software Defined Networking Using Entropy

Software Defined Networking (SDN) is one of the most commonly used network architectures in recent years. With the substantial increase in the number of Internet users, network security threats appear more frequently, which brings more concerns to SDN. Distributed denial of Service (DDoS) attacks are one of the most dangerous and frequent attacks in software defined networks. The traditional attack detection method using entropy has some defects such as slow attack detection and poor detection effect. In order to solve this problem, this paper proposed a method of fusion entropy, which detects attacks by measuring the randomness of network events. This method has the advantages of fast attack detection speed and obvious decrease in entropy value. The complementarity of information entropy and log energy entropy is effectively utilized. The experimental results show that the entropy value of the attack scenarios 91.25% lower than normal scenarios, which has greater advantages and significance compared with other attack detection methods

Засоби на основі модифікованого алгоритму виявлення інформаційних атак на хмарні сервіси

Актуальність теми. Комп’ютерні мережі в сучасну епоху стали основою багатьох установ, включаючи урядові, дослідницькі та оборонні організації. З розвитком інтернету, хмарних обчислень, інтернету речей, сучасних мереж, постало завдання захисту таких ресурсів. Основні проблеми безпеки класифікуються як загрози цілісності, доступності та конфіденційності. Інформація, яка зберігається й обробляється, має бути конфіденційна та цілісна, а ресурси, які використовуються, мають бути доступні. DDoS-атака є основною загрозою доступності ресурсів, оскільки вона намагається запобігти нормальному трафіку між клієнтом і сервером. DDoS-атаки стали звичною практикою в суто конкурентній боротьбі. Піддаватися атакам на замовлення можуть офіційні сайти компаній конкурентів. Іноді хакери займаються прямим шантажем приватних компаній, вимагаючи гроші за те, щоб не атакувати їх сайти. Тому розробка спеціальних інструментів, які зможуть покращити безпеку додатків є актуальною і важливою задачею. Об’єктом дослідження єі приватні або публічні хмарні середовища. Предметом дослідженняі є методи та алгоритми виявлення та запобіганняі інформаційних атак, зокрема DDoS-атак. Мета роботи: створено алгоритм виявлення інформаційних атак, що відрізняється використанням алгоритму Зозулі щодо оптимізації навчання і дозволяє підвищити ефективність розпізнавання DDoS атак на 3,87%.. Наукова новизнаі полягає в наступному: створено модифікований алгоритм виявленняі інформаційних атак, який дозволяє оптимізувати навчання нейронноїі мережі засобами алгоритму Зозулі. Практична цінність отриманихі в роботі результатів полягає в тому, щоі запропонований модифікований алгоритм дасть змогу з більшоюі точністю та швидкістю виявляти та запобігати інформаційнимі атакам, таким як DDoS-атаки. Розроблений десктопі-додаток дасть змогу протестувати оптимізований алгоритм наі практиці. Апробація роботи. Основні положення і результатиі роботи були представлені та обговорювались на науковійі конференції магістрантів та аспірантів «Прикладна математика таі комп’ютинг» ПМК-2021, а ще на VІI Міжнародна науково-технічна Internet-конференція «Сучасні методиі, інформаційне, програмне та технічне забезпечення систем керуванняі організаційно-технічними та технологічними комплексами». Також, результатиі роботи, програмні засоби були впроваджені в діючеі підприємство. Структура та обсяг роботи. Магістерська дисертаціяі складається з вступу, чотирьох розділів та висновківі. У вступі подано загальну характеристику роботи, зробленоі оцінку сучасного стану проблеми, обґрунтовано актуальність напрямкуі досліджень, сформульовано мету і задачі досліджень, показаноі наукову новизну отриманих результатів і практичну цінністьі роботи, наведено відомості про апробацію результатів іі їхнє впровадження. У першому розділі проведено аналізі предметної області, розглянуто існуючі системи захисту віді інформаційних атак, а також проведений аналіз, якийі дає змогу визначити основні переваги та недолікиі розробленого модифікованого алгоритму. У другому розділі аналізі мов програмування та обґрунтування вибору засобів реалізаціїі та модифікації. У третьому розділі приводиться структурноі-алгоритмічна організація розроблюваного десктоп-додатку. У четвертомуі розділі описується аналіз та тестування розробленого оптимізованогоі алгоритму. У висновках представлені результати проведеної роботиі та порівняння з іншими існуючими алгоритмами машинногоі навчання. Робота представлена на 92 аркушах, міститьі посилання на список використаних літературних джерел.Actuality of theme. Computer networks have become the basis of many institutions in the modern era, including government, research, and defense organizations. With the development of the Internet, cloud computing, the Internet of Things, modern networks, the task of protecting such resources has arisen. Major security issues are classified as threats to integrity, accessibility, and confidentiality. The information stored and processed must be confidential and complete, and the resources used must be available. A DDoS attack is a major threat to resource availability as it tries to prevent normal traffic between client and server. DDoS attacks have become common practice in purely competitive competition. Official websites of competing companies can be attacked by order. Sometimes hackers engage in direct blackmail of private companies, demanding money for not attacking their sites. Therefore, the development of special tools that can improve the security of applications is an urgent and important task. The object of research is private or public cloud environments. The subject of research is methods and algorithms for detecting and preventing information attacks, in particular DDoS attacks. Purpose: modification of the existing algorithm for detecting information attacks, to speed up learning and detection; creating a software application to detect and prevent DDoS attacks. The scientific novelty is as follows: a modified algorithm for detecting information attacks has been created, which allows to optimize the learning of the neural network by means of the Cuckoo search algorithm. The practical value of the results obtained in this work is that the proposed modified algorithm will allow with greater accuracy and speed to detect and prevent information attacks, such as DDoS attacks. The developed desktop application will allow to test the optimized algorithm in practice. Approbation of work. The main provisions and results of the work were presented and discussed at the scientific conference of undergraduates and graduate students "Applied Mathematics and Computing" PMK-2021, and at the VII International Scientific and Technical Internet Conference "Modern methods, information, software and hardware control systems organizational, technical and technological complexes ". Also, the results of work, were implemented in the existing enterprise. Structure and scope of work. The master's dissertation consists of an introduction, four chapters and conclusions. The introduction gives a general description of the work, assesses the current state of the problem, substantiates the relevance of the research, formulates the purpose and objectives of research, shows the scientific novelty of the results and practical value of the work, provides information on approbation of results and their implementation. The first section analyzes the subject area, considers the existing systems of protection against information attacks, as well as the analysis, which allows determining the main advantages and disadvantages of the developed modified algorithm. The second section analyzes the programming languages and justifies the choice of implementation and modification tools. The third section presents the structural and algorithmic organization of the developed desktop application. The fourth section describes the analysis and testing of the developed optimized algorithm. The conclusions present the results of the work and comparison with other existing machine learning algorithms. The work is presented on 92і sheets, contains links to a list of used literature sources