PalmaDNS: et rammeverk for analyse av Passive DNS for deteksjon av ondsinnet nettverksaktivitet
Abstract
NORSK: Denne rapporten er sentralisert rundt Passiv DNS og analysen av dette til å kunne detektere
ondsinnet nettverksaktivitet. Oppgaven leveres som et produkt til mnemonic AS.
mnemonic har idag en rekke sensorer for å overvåke nettverkstrafikken til bedrifter, og den
oppsamlede informasjonen benyttes til deteksjon og videre etterforskning av reelle og
potensielle sikkerhetshendelser. !
Denne rapportens hovedleveranse er en innledende kartlegging og vurdering av potensielle
attributer og egenskaper ved datasettet som finnes i passiv DNS, og hvordan dette kan
potensielt benyttes til deteksjon av mistenklig og eller ondsinnet aktivitet. Ved denne
kartleggingen har det blitt presentert en oversikt over 15 initielle analyserbare attributter og
egenskaper ved passiv DNS-datasett. Videre er fem av disse gjennomgått og presentert på
et detaljert nivå. !
Denne teorien er videre brukt, i samarbeid med mnemonic, som grunnlaget til utvikle en
kravspesifikasjon og designdokument for et rammeverk. Dette rammeverket skal kunne
benyttes til å gjennomføre en analyse av de kartlagte attributene og egenskapene ved
passiv DNS-data, og resultere i deteksjon av potensielt mistenkelig og eller ondsinnet
nettverksaktivitet. !
Etter utarbeidelsen av denne kravspesifikasjonen og designdokumentet er det utviklet en
Proof-of-Concept av rammeverket via en implementasjon laget i programmeringsspråket
Python. Ettersom dette kun er en Proof-of-Concept er det fremmet forbedringspotensialer
og forslag til videre arbeid for å kunne ferdigstille en fullverdig applikasjon som kan settes
i et produksjonsmiljø. ENGLISH: This report is focused around the area of Passive DNS and the analysis of this for detection
of malicious network activity, and is a delivery to mnemonic AS. mnemonic has a
collection of sensors monitoring the network traffic of several businesses, and uses the
aggregated information for detection and further investigation of potential security
incidents. !
The main delivery of this report is a preliminary survey and assessment of potential
attributes and properties of data sets collectable from passive DNS, and the usage of this
information for detection of suspicious and or malicious activity. This survey has resulted
in a list of 15 initial attributes and properties of a passive DNS data set, which all are
analyzable. Five of these are further investigated and presented on a more detailed level. !
This data is, in cooperation with mnemonic, used as a basis for the development of a
requirement spesification and design document for a framework. The framework will be
used for analysis of the presented attributes and properties of passive DNS, and should be
able to detect suspicious and or malicious network activity. !
As a further presentation of the requirement spesification and design document a Proof-of-
Concept of the framework is implemented in the programming language Python. A Proofof-
Concept is but a basic example of the expected outcome, and such, this report presents
elements for improvement and suggestions for future development needed to develop a
functional application ready for production.