Detection of the botnets’ low-rate DDoS attacks based on self-similarity

An article presents the approach for the botnets’ low-rate a DDoS-attacks detection based on the botnet’s behavior in the network. Detection process involves the analysis of the network traffic, generated by the botnets’ low-rate DDoS attack. Proposed technique is the part of botnets detection system – BotGRABBER system. The novelty of the paper is that the low-rate DDoS-attacks detection involves not only the network features, inherent to the botnets, but also network traffic self-similarity analysis, which is defined with the use of Hurst coefficient. Detection process consists of the knowledge formation based on the features that may indicate low-rate DDoS attack performed by a botnet; network monitoring, which analyzes information obtained from the network and making conclusion about possible DDoS attack in the network; and the appliance of the security scenario for the corporate area network’s infrastructure in the situation of low-rate attacks

МЕТОДИ ВИЯВЛЕННЯ БОТ-МЕРЕЖ В КОМП’ЮТЕРНИХ СИСТЕМАХ

Object. The process of the botnets detection in the corporate area networks based on network traffic analysis and on the of computer systems software’s behavior. Subject. Methods for botnets detection in computer systems. Goal. Increasing of the botnet detection efficiency by developing new methods for its detection in the corporate networks. Results. A new approach for the botnet detection in the corporate area networks based on the analysis of the bots’ behavior is proposed. The detection of botnets is accomplished by applying the developed two methods: by means of network-level and host-level analysis. The first method allows you to analyze the behavior of the software on the host, which may indicate the possible presence of the bot directly on the host and the detection of malicious software, while the second method involves monitoring and analysis of DNS traffic, which also allows to make a conclusion about infection of network hosts with botnets. Based on the proposed methods, an effective tool for botnet detection - BotGRABBER - was developed. It is capable of detecting bots that use such evasion methods as IP mapping, fast flux, domain flux, and DNS tunneling. Conclusions. The usage of the developed system allows to detect the hosts infected with botnet and localize malware with high efficiency - up to 96%, and also shows low rate of false positives 3-5%. A feature of the proposed approach is that the detection of botnets is "invisible" to botnet owners.Объект. Процесс обнаружения бот-сетей в корпоративных сетях на основе анализа сетевого трафика и поведения программного забезпечеення компьютерных системах. Предмет. Методы обнаружения бот-сетей в компьютерных системах. Цель. Повышение достоверности обнаружения бот-сетей путем разработки методов их обнаружения бот-сетей в корпоративных сетях. Результаты. Предложен новый подход к выявлению бот-сетей в корпоративных сетях на основе анализа поведения ботов. Обнаружение бот-сетей осуществляется путем применения разработанных двух методов: с помощью анализа на сетевом уровне и на хостовой уровне. Первый метод позволяет анализировать поведение программного обеспечения на хосте, что может указывать на возможное присутствие бота непосредственно на хосте и обнаружения вредоносного программного обеспечения, тогда как второй метод включает в себя мониторинг и анализ DNS-трафика, также позволяет сделать вывод об инфицировании сетевых хостов ботами бот-сети. На основе предложенных методов был разработан эффективный инструмент обнаружения бот-сетей - BotGRABBER. Он способен обнаруживать боты, которые используют такие методы уклонения от обнаружения: периодическая смена IP-отображения (cycling of IP mapping), «поток доменов» (domain flux), "быстро меняющиеся» сети (fast flux) и DNS-туннелирования (DNS tunneling). Выводы. Использование разработанной системы позволяет обнаруживать хосты, инфицированные ботами бот-сетей и локализовать вредоносные программы с высокой эффективностью - до 96%, а также демонстрирует низкий уровень ложных срабатываний - на уровне 3-5%. Особенность предлагаемого подхода состоит в том, что обнаружение бот-сетей является «невидимым» для владельцев бот-сетейОб’єкт. Процес виявлення бот-мереж у корпоративних мережах на основі аналізу мережевого трафіка та поведінки програмного забезпечеення комп’ютерних системах. Предмет. Методи виявлення бот-мереж в комп’ютерних системах. Мета. Підвищення достовірності виявлення бот-мереж шляхом розроблення методів їх виявлення бот-мереж в корпоративних мережах. Результати. Запропоновано новий підхід до виявлення бот-мереж в корпоративних мережах на основі аналізу поведінки ботів. Виявлення бот-мереж здійснюється шляхом застосування розроблених двох методів: за допомогою аналізу на мережному рівні та на хостовому рівні. Перший метод дозволяє аналізувати поведінку програмного забезпечення на хості, що може вказувати на можливу присутність бота безпосередньо на хості і виявлення шкідливого програмного забезпечення, тоді як другий метод включає в себе моніторинг і аналіз DNS-трафіка, що також дозволяє зробити висновок про інфікування мережних хостів ботами бот-мережі. На основі запропонованих методів було розроблено ефективний інструмент виявлення бот-мереж - BotGRABBER. Він здатний виявляти боти, які використовують такі методи ухилення від виявлення як періодична зміна IP-відображення (cycling of IP mapping), «потік доменів» (domain flux), «швидкозмінні» мережі (fast flux) та DNS-тунелювання (DNS tunneling). Висновки. Використання розробленої системи дозволяє виявляти інфіковані ботами бот-мереж хости і локалізувати шкідливі програми з високою ефективністю – до 96%, а також демонструє низькі помилкові спрацьовування – на рівні 3-5%. Особливість запропонованого підходу полягає в тому, що виявлення бот-мереж є «невидимим» для власників бот-мереж