PalmaDNS: et rammeverk for analyse av Passive DNS for deteksjon av ondsinnet nettverksaktivitet

Abstract

NORSK: Denne rapporten er sentralisert rundt Passiv DNS og analysen av dette til å kunne detektere ondsinnet nettverksaktivitet. Oppgaven leveres som et produkt til mnemonic AS. mnemonic har idag en rekke sensorer for å overvåke nettverkstrafikken til bedrifter, og den oppsamlede informasjonen benyttes til deteksjon og videre etterforskning av reelle og potensielle sikkerhetshendelser. ! Denne rapportens hovedleveranse er en innledende kartlegging og vurdering av potensielle attributer og egenskaper ved datasettet som finnes i passiv DNS, og hvordan dette kan potensielt benyttes til deteksjon av mistenklig og eller ondsinnet aktivitet. Ved denne kartleggingen har det blitt presentert en oversikt over 15 initielle analyserbare attributter og egenskaper ved passiv DNS-datasett. Videre er fem av disse gjennomgått og presentert på et detaljert nivå. ! Denne teorien er videre brukt, i samarbeid med mnemonic, som grunnlaget til utvikle en kravspesifikasjon og designdokument for et rammeverk. Dette rammeverket skal kunne benyttes til å gjennomføre en analyse av de kartlagte attributene og egenskapene ved passiv DNS-data, og resultere i deteksjon av potensielt mistenkelig og eller ondsinnet nettverksaktivitet. ! Etter utarbeidelsen av denne kravspesifikasjonen og designdokumentet er det utviklet en Proof-of-Concept av rammeverket via en implementasjon laget i programmeringsspråket Python. Ettersom dette kun er en Proof-of-Concept er det fremmet forbedringspotensialer og forslag til videre arbeid for å kunne ferdigstille en fullverdig applikasjon som kan settes i et produksjonsmiljø.

ENGLISH: This report is focused around the area of Passive DNS and the analysis of this for detection of malicious network activity, and is a delivery to mnemonic AS. mnemonic has a collection of sensors monitoring the network traffic of several businesses, and uses the aggregated information for detection and further investigation of potential security incidents. ! The main delivery of this report is a preliminary survey and assessment of potential attributes and properties of data sets collectable from passive DNS, and the usage of this information for detection of suspicious and or malicious activity. This survey has resulted in a list of 15 initial attributes and properties of a passive DNS data set, which all are analyzable. Five of these are further investigated and presented on a more detailed level. ! This data is, in cooperation with mnemonic, used as a basis for the development of a requirement spesification and design document for a framework. The framework will be used for analysis of the presented attributes and properties of passive DNS, and should be able to detect suspicious and or malicious network activity. ! As a further presentation of the requirement spesification and design document a Proof-of- Concept of the framework is implemented in the programming language Python. A Proofof- Concept is but a basic example of the expected outcome, and such, this report presents elements for improvement and suggestions for future development needed to develop a functional application ready for production.