Original title:
Detekce malware domén pomocí metod strojového učení
Authors:
Ebert, Tomáš ; Poliakov, Daniel (referee) ; Hranický, Radek (advisor) Document type: Bachelor's theses
Year:
2024
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Tato bakalářská práce se zabývá detekcí malware domén pomocí metod strojového učení na základě různých informací získaných o doméně (DNS záznamy, geolokační údaje atd.). S rychle rozšiřujícími se hrozbami, nejen formou malwaru, jsou často současné přístupy nedostačující ať už jen rychlostí detekce malware domén, nebo celkovým rozeznáním, zda se jedná o nebezpečnou doménu. Výstupem této práce je natrénovaný model klasifikátoru XGBoost, jehož výhodou je rychlá a efektivní detekce v reálném čase oproti detekci pomocí černých listin, které získávají data domén často s týdenním zpožděním. Pro tento model bylo získáno 131 tisíc malware domén, pomocí kterých bylo možné získat model s vysokými hodnotami. Pomocí experimentů bylo dosaženo skóre F1 96.8786 % u klasifikátoru XGBoost s poměrem falešně pozitivních detekcí 0.004887.
This bachelor thesis deals with the detection of malware domains using machine learning methods learning based on various information obtained about the domain (DNS records, geolocation data etc.). With the rapid proliferation of threats, not only in the form of malware, the current examples are often approaches are insufficient, either in terms of the speed of detection of malware domains or in terms of overall recognition,whether a domain is dangerous. The output of this work is a trained XGBoost classifier model, which has the advantage of fast and efficient real-time detection over blacklist detection, which often acquires domain data with a week delay. For this model, 131,000 malware domains were obtained, using which obtain a high-value model. Using experiments, a score of F1 of 96.8786 % for the XGBoost classifier with a false positive detection rate of 0.004887.
Keywords:
classification; dataset; DNS; hyperparameter optimization; machine learning; malicious domains; malware; RDAP; TLS; datová sada; DNS; klasifikace; maligní domény; malware; optimalizace hyperparametrů; RDAP; strojové učení; TLS
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: https://hdl.handle.net/11012/246900