Please enable JavaScript.
Coggle requires JavaScript to display documents.
DNS TunnelingDetection with Supervised Learning - Coggle Diagram
DNS TunnelingDetection with Supervised Learning
Introduction
Approach
Backgroud
Machine Learning Features
Character Entrophy
전체 캐릭터수에서 각 캐릭터가 나올 확률로 계산한 엔트로피 값
DCODE의 entrophy
-H = - (2/5log22/5 + 3*1/5log21/5) = 1.921928
-5개 문자 중 D가 2개, 나머지 문자가 1개씩 3
Alphanumeric Content Ratio
전체 문자 중 소문자, 숫자의 비율
DNS는 대문자를 사용하지 않음
Unique Query Volume
그룹내 유니크 쿼리 개수
x: unique query 개수, c: 20
유니크 쿼리는 그룹 내에서 처음 나온 쿼리를 뜻함
Unique Query Ratio
전체 쿼리에서 Unique Query의 비율
DNS 터널링에서 공격자는 다양한 쿼리를 이용함
유니크 쿼리가 많으면 1
Average Subdomain Length
서브 도메인의 문자수를 해당 공식으로 노멀라이즈
x:서브도메인 길이, c: 50
Average Longest Meaningful Word Length
서브 도메인에서 의미있는 단어 중 가능 긴 단어의 전체 문자열에서의 비율
NLTK 패키지를 이용해서 워드를 뽑아내면 구할 수 있을 것으로 보임
Average English Content Ratio
서브 도메인에서 영어 단어로 이루어진 부분의 비율
Average Similar Ratio
두 단어의 유사성 검사
그룹 내 두 서브도메인끼리의 단어 유사성 검사
Normal DNS Data
DNS Tunneling Tool
Threat Classification
Results
Feature Value Distribution
Classifier Performance
Efficacy Confirmation
Discussion
