The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

Detecting Cyber Threats Domains Based on DNS Traffic

DNS 트래픽 기반의 사이버 위협 도메인 탐지

  • 임선희 (한국전자통신연구원 사이버융합보안연구단) ;
  • 김종현 (한국전자통신연구원 사이버융합보안연구단) ;
  • 이병길 (한국전자통신연구원 사이버융합보안연구단)
  • Received : 2012.08.31
  • Accepted : 2012.10.31
  • Published : 2012.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

Recent malicious attempts in Cyber space are intended to emerge national threats such as Suxnet as well as to get financial benefits through a large pool of comprised botnets. The evolved botnets use the Domain Name System(DNS) to communicate with the C&C server and zombies. DNS is one of the core and most important components of the Internet and DNS traffic are continually increased by the popular wireless Internet service. On the other hand, domain names are popular for malicious use. This paper studies on DNS-based cyber threats domain detection by data classification based on supervised learning. Furthermore, the developed cyber threats domain detection system using DNS traffic analysis provides collection, analysis, and normal/abnormal domain classification of huge amounts of DNS data.

최근 사이버 공간에서는 대규모 사이버 공격들을 위해 봇넷(Botnet)을 형성하여 자산 손실과 같은 경제적 위협뿐만 아니라 Stuxnet과 같은 국가적으로 위협이 되고 있다. 진화된 봇넷은 DNS(Domain Name System)를 악용하여 C&C 서버와 좀비간의 통신 수단으로 사용하고 있다. DNS는 인터넷에서의 주요 인프라이고, 무선 인터넷의 대중화로 지속적으로 DNS 트래픽이 증가되고 있다. 반면에, 도메인 주소를 이용한 공격들도 증가되고 있는 현실이다. 본 논문에서는 지도 학습 기반의 데이터 분류 기술을 이용한 DNS 트래픽 기반의 사이버 위협 도메인 탐지 기술에 대해 연구한다. 더불어, 개발된 DNS 트래픽을 이용한 사이버위협 도메인 탐지 시스템은 대용량의 DNS데이터를 수집, 분석, 정상/비정상 도메인 분류 기능을 제공한다.

Keywords

References

  1. S. Lim, J. Kim, B. Lee, "A Study on the Prediction and Analysis of Cyber Threats", in Proc. KICS, vol. 48, pp. 125-126, 2012.
  2. L. Bilge, E. Kirda, C. Kruegel,M. Balduzzi, "EXPOSURE: Finding malicious domains using passive dns analysis", in Proc. of the Annual Network and Distributed System Security (NDSS 2011), Feb. 2011.
  3. H. Choi, H. Lee, H. Lee, H. Kim, "Botnet detection by monitoring group activities in DNS traffic", in 7th IEEE Int. Con. Computer and Information Technology 2007. (CIT 2007), pp. 715-720, Oct. 2007.
  4. J. Dietrich, C. Rossow, F. Freiling, On Botnets that use DNS for Command and Control, Retrieved Jun., 01, 2012, from http://www.syssec-project.eu/media/page-media/3/dietrich-ec2nd11.pdf.
  5. G. Gu, J. Zhang, W. Lee, "BotSniffer: Detecting botnet command and control channels in network traffic", in Proc. of the 15th Annual Network and Distributed System Security Symposium (NDSS 2008), Feb. 2008.
  6. G. Gu, R. Perdisci, J. Zhang, W. Lee, "BotMiner: clustering analysis of network traffic for protocol-and structure-independent botnet detection", in Proc. of the 17th conference on Security symposium, 2008, pp. 139-154, Aug. 2008.
  7. R. Villamarin-Salomon, J. C. Brustoloni, "Bayesian bot detection based on DNS traffic similarity", in Proc. of the 2009 ACM symposium on Applied Computing, pp. 2035-2041, Mar. 2009.
  8. R. Villamarin-Salomon, J. C. Brustoloni, "Identifying botnets using anomaly detection techniques applied to DNS traffic", in Consumer Communications and Networking Conference 2008 (CCNC 2008), pp. 476-481, Jan. 2008.
  9. H. Tu, Z. Li,B. Liu, "Detecting botnets by analyzing DNS traffic", Intelligence and Security Informatics, pp. 323-324, Apr. 2007.
  10. J. Han and M. Kamber, Data Mining: Concepts & Techniques, 2nd Ed., Elseviser Inc., 2007.
  11. S.H Lim, J. Cho, J.H. Kim, B.G. Lee, "Feature Selection with PCA based on DNS Query for Malicious Domain Classification", Computer and Communication Systems, vol.1, no.1, pp. 55-60, Oct. 2012. https://doi.org/10.3745/KTCCS.2012.1.1.055