Дожили,теперь даркнет используют для мониторинга чистого интернета!!!

В последнее время мир начал осознавать значимость и опасное воздействие различных форм уязвимостей сети. Более того, киберпреступники могут использовать эти уязвимости для получения конфиденциальной и конфиденциальной информации с компьютеров уязвимых веб-пользователей. Таким образом, исследователи недавно начали тщательно изучать, как можно создать контрмеры для решения различных проблем уязвимости сети. Недавно опубликованный документ, в котором предлагается использовать darknet для обнаружения черных IP-адресов, которые представляют собой IP-адреса, используемые злоумышленниками для распространения спама и вредоносного ПО. Исследователи собрали 8 192 IP-адреса в пределах darknet, а затем отслеживали трафик темной сети, связанный с этими IP-адресами, в течение 1 месяца.

Предлагаемый процесс обнаружения черных IP-адресов:

Прежде чем углубиться в предлагаемый процесс, нам нужно понять различные типы пакетов darknet, которые были собраны во время эксперимента. Собранные пакеты darknet были в основном в виде реальных пакетов атак, пакетов сканирования и пакетов неправильной конфигурации. Сканирующие пакеты представляют собой метод предварительного расследования для реальных форм атаки. Пакеты несоответствия представляют собой различные ошибки управления данными, которые происходят во всех сообщениях в настройках сети.

Информация о Darknet состоит из множества элементов, включая исходный IP-адрес и порт; IP-адрес назначения и порт; полезной нагрузки, времени события и других. Таким образом, метод, , был посвящен IP-адресам источника в собранных пакетах данных darknet. Исследователи выбрали 10 лучших IP-адресов источника среди ежедневных собранных пакетов данных. Всякий раз, когда пакеты дополнительных притоков данных могут быть связаны с IP-адресом источника, увеличивается вероятность злонамеренных действий. На приведенном ниже рисунке представлена иллюстрация предлагаемого процесса обнаружения черного IP-адреса, который зависит от службы с именем «VirusTotal».

VirusTotal может помочь в предоставлении результатов проверки практически для любого антивирусного решения. VirusTotal анализирует 10 лучших IP-адресов источника, чтобы определить, являются ли они вредоносными или безопасными IP-адресами. Следующим шагом будет сравнение между пакетами, собранными в день сбора VirusTotal и пакетами darknet, собранными в любой другой случайный день. В конце концов, если день собранных IP-адресов источника представлял дату до дня обнаружения через VirusTotal, тогда вредоносные IP-адреса могли быть раннее идентифицированы через darknet. На приведенном ниже рисунке представлена основная идея процесса обнаружения чёрных IP-адресов.

Результаты эксперимента:

В предлагаемом экспериментальном процессе было собрано 8 192 IP-адреса назначения в среде darknet и связанный с ним темный трафик в августе 2016 года. Это привело к сбору 277 002 257 пакетов данных darknet и 8 392 962 исходным IP-адресам. На приведенном ниже рисунке показано общее количество вредоносных IP-адресов по сравнению с ежемесячными повторяющимися IP-адресами.

Эксперимент показал ежедневное количество повторяющихся IP-адресов 142. Кроме того, было обнаружено в общей сложности 34 ежемесячных дублированных IP-адреса. Таким образом, результаты эксперимента могут варьироваться в зависимости от периода мониторинга и количества IP-адресов источника.

Результаты мониторинга VirusTotal выявили вредоносные IP-адреса с помощью последних контролируемых URL-адресов, последних контролируемых файлов, которые были загружены с этих IP-адресов, последних контролируемых файлов, которые взаимодействовали с этими конкретными IP-адресами ... и т. Д. Ежедневные повторяющиеся IP-адреса представляли 72,17% всех ежедневных IP-адресов, а ежемесячные повторяющиеся IP-адреса составляли 52,94% всех ежемесячных IP-адресов.

В документе представлен практический анализ и классификация с использованием информации о темноте, хотя анализ пакетов данных darknet представляет собой довольно сложную задачу. Предлагаемый процесс основывался на анализе IP-адресов верхнего уровня для обнаружения черных или вредоносных IP-адресов. Результаты эксперимента показали, что всякий раз, когда анализ включает более длительный период времени, можно получить более точные результаты. Таким образом, исследователи рекомендовали повторить эксперимент с использованием более длительных периодов времени (неделя, месяц и т. Д.), Чтобы повысить эффективность и точность результатов, чтобы помочь в создании более совершенных систем управления безопасностью.