Název:
Klasifikace doménových jmen generovaných algoritmy DGA
Překlad názvu:
Classification of Domain Names Generated by DGA
Autoři:
Bučko, Filip ; Žádník, Martin (oponent) ; Hranický, Radek (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2023
Jazyk:
slo
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [slo][eng]
Technika DGA (Domain Generation Algorithm) umožňuje malvéru prijímať príkazy od útočníka a zároveň vyhýbať sa detekcii. Hlavným cieľom tejto práce je zostaviť systém detekcie a klasifikácie domén vygenerovaných algoritmami a tak odhaliť škodlivú komunikáciu. Pre potreby detekcie je v práci navrhnutý a implementovaný binárny klasifikátor založený na strojovom učení. Klasifikácia zohráva kľúčovú úlohu pri automatizovanej analýze malvéru a umožňuje tak proaktívnu obranu. Pre potreby klasifikácie domén do rodín DGA sú v práci predstavené 4 klasifikátory založené na rôznych prístupoch, ktorých výhody a nevýhody sú analyzované. Výsledná implementácia viac-triednej klasifikácie pozostáva z kombinácie klasifikátorov poskytujúcich najlepšie výsledky. V práci sú ďalej identifikované vlastnosti charakteristické pre domény DGA, ktoré sú nevyhnutné pre tvorbu klasifikátorov. Testovaním výslednej implementácie klasifikátorov je demonštrovaná vysoká úspešnosť pri detekcii aj klasifikácii domén DGA.
The DGA (Domain Generation Algorithm) is a technique that allows malware to receive commands from an attacker while avoiding detection. The main objective of this thesis is to build a system for the detection and classification of DGA domains in order to uncover malicious communication. For the purpose of detection, a binary classifier based on machine learning is designed and implemented in this work. Classification plays a crucial role in the automated analysis of malware and thus ensures proactive defense. Additionally, 4 classifiers based on different approaches are introduced for the classification of domains into DGA families. Subsequently, the advantages and disadvantages of presented approaches are identified. The final implementation of multi-class classification consists of a combination of classifiers that provide the best results. Furthermore, this work identifies characteristics specific to DGA domains that are necessary for the creation of classifiers. Testing the resulting implementation of classifiers demonstrates high accuracy in both DGA domain detection and classification.
Klíčová slova:
Botnet; C&C server; classification; detection; DGA
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/212736