Detekce maligních domén s využitím AI

Abstract

Malígne domény predstavujú vážnu hrozbu pre kybernetickú bezpečnosť, keďže sa zneužívajú na šírenie škodlivého kódu, uskutočňovanie phishingových útokov a komunikáciu s napadnutými systémami prostredníctvom domén generovaných algoritmami (DGA). Cieľom tejto práce je navrhnúť a vyhodnotiť modely pre ich detekciu s využitím neurónových sietí postavených na transformerovej architektúre. Modely boli trénované na rôznych typoch vstupných dát, ako sú názvy domén, záznamy RDAP/Whois, údaje z DNS komunikácie a geografické informácie z IP adries. Najvyššie F1 skóre (98,61\%) dosiahol model určený na detekciu DGA domén natrénovaný nad doménovými menami. Podobne vysoké hodnoty sa podarilo dosiahnuť aj pri detekcii phishingu (98,39\%) a malvéru (95,70\%) na základe údajov z RDAP. Navrhované riešenie vykazuje vysokú presnosť, eliminuje potrebu časovo náročného manuálneho spracovania vstupných údajov a umožňuje automatizované učenie z nových dát. Tým sa zvyšuje odolnosť voči meniacim sa útočným technikám a zaručuje spoľahlivé fungovanie aj pri dlhodobom nasadení v praxi.Malicious domains pose a serious threat to cybersecurity, as they are exploited for the distribution of malicious code, execution of phishing attacks, and communication with compromised systems via algorithmically generated domains (DGA). The aim of this thesis is to design and evaluate models for their detection using neural networks based on the transformer architecture. The models were trained on various types of input data, including domain names, RDAP/Whois records, DNS communication data, and geographic information derived from IP addresses. The highest F1 score (98.61\%) was achieved by the model designed to detect DGA domains, trained on domain names. Similarly high values were achieved in detecting phishing (98.39\%) and malware (95.70\%) based on RDAP data. The proposed solution demonstrates high accuracy, eliminates the need for time-consuming manual preprocessing of input data, and enables automated learning from new data. This increases its resilience to evolving attack techniques and ensures reliable performance even during long-term deployment.