Detecção de aplicações envio de SPAM através da mineração de tráfego DNS

Abstract

Novas ameaças de rede surgem a cada dia, assim como novas idéias para combatê-las. O Sistema de Nomes de Domínio (DNS) é uma infraestrutura crítica no funcionamento da Internet, e por isso é importante monitorar e proteger o seu tráfego de atividades maliciosas, colaborando com a segurança do ciberespaço. Por ser uma estrutura crucial no funcionamento da rede, também pode ser utilizado na disseminação de malware, como o envio de e-mails em massa (spam) e o surgimento de redes zumbis (botnets). Esse tipo de atividade tem crescido cada vez mais, o que acaba por impulsionar a pesquisa por novas idéias e abordagens para combatê-la. Estudos recentes tem mostrado que é possível detectar aplicações maliciosas através do comportamento do tráfego DNS emitido por uma máquina infectada. Então por que não utilizar essa metodologia para tentar detectar e combater spammers? Neste trabalho foram analisadas diversas técnicas de detecção de atividadesmaliciosas através damonitoração do tráfego DNS. Dentre elas, um método de detecção de atividades de máquinas infectadas por vermes de envio de e-mail em massa foi escolhido para ser analisado, implementado e testado no ambiente de rede do Instituto de Informática da UFRGS. Através dos resultados obtidos, foi verificada a eficácia da técnica, assim como características do ambiente testado.

New network threats appear every day, as well as new ideas to combat them. The Domain Name System (DNS) is a critical infrastructure in the Internet , thus it’s important to monitor and protect it’s traffic against malicious activities, collaborating with the security of cyberspace. Because it is a crucial structure in the network operation, it’s services can also be used to disseminate malware, such as spamming and helping with the rise of new botnets. This type of activity has grown increasingly, which ultimately drive the search for new ideas and approaches to combat it. Recent studies have shown that it is possible to detect malicious activities through the behavior of DNS traffic sent by an infected host. So why not use this method to try to detect, and combat, spammers? In this publication, various techniques for detecting malicious activity by monitoring DNS traffic were studied. Among them, a method for detecting activities of hosts infected by mass-mailing worms was chosen to be analyzed, tested and implemented in the network environment of Instituto de Informática from UFRGS. Through the results obtained, we verified the effectiveness of this technique, as well as some characteristics of the tested environment.