СИСТЕМА ВИЯВЛЕННЯ АНОМАЛІЙ У DNS-ЗАПИТАХ
DOI:
https://doi.org/10.31891/2307-5732-2024-345-6-22Ключові слова:
аномалії у DNS-запитах, DNS-атаки, моніторинг DNS-запитівАнотація
Розглянуто теоретичні та практичні аспекти системи виявлення аномалій у DNS-запитах, яка є важливим інструментом забезпечення безпеки інтернет-інфраструктури. Проведено аналіз існуючих методів виявлення аномалій, включаючи статистичний, сигнатурний підходи та методи машинного навчання. Описано основні етапи розробки запропонованої системи, включаючи збір, обробку та аналіз даних, а також формування профілю нормальної активності для виявлення відхилень.
Основною метою дослідження є демонстрація ефективності комбінованого підходу до аналізу DNS-трафіку, який використовує сучасні алгоритми машинного навчання, такі як Isolation Forest, One-Class SVM та K-means. Запропонована система забезпечує високий рівень точності (92%) та повноти (90%) у виявленні аномалій, що підтверджується результатами тестування на наборі даних CAIDA Passive DNS Dataset.
Представлено опис модульної архітектури системи, яка дозволяє масштабувати її для використання у великих мережах із високим рівнем трафіку. Запропонований підхід є гнучким і адаптивним, що дозволяє інтегрувати його з існуючими мережевими інструментами безпеки та реагування на інциденти.
