Klasifikace doménových jmen generovaných algoritmy DGA
Loading...
Date
Authors
Bučko, Filip
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Technika DGA (Domain Generation Algorithm) umožňuje malvéru prijímať príkazy od útočníka a zároveň vyhýbať sa detekcii. Hlavným cieľom tejto práce je zostaviť systém detekcie a klasifikácie domén vygenerovaných algoritmami a tak odhaliť škodlivú komunikáciu. Pre potreby detekcie je v práci navrhnutý a implementovaný binárny klasifikátor založený na strojovom učení. Klasifikácia zohráva kľúčovú úlohu pri automatizovanej analýze malvéru a umožňuje tak proaktívnu obranu. Pre potreby klasifikácie domén do rodín DGA sú v práci predstavené 4 klasifikátory založené na rôznych prístupoch, ktorých výhody a nevýhody sú analyzované. Výsledná implementácia viac-triednej klasifikácie pozostáva z kombinácie klasifikátorov poskytujúcich najlepšie výsledky. V práci sú ďalej identifikované vlastnosti charakteristické pre domény DGA, ktoré sú nevyhnutné pre tvorbu klasifikátorov. Testovaním výslednej implementácie klasifikátorov je demonštrovaná vysoká úspešnosť pri detekcii aj klasifikácii domén DGA.
The DGA (Domain Generation Algorithm) is a technique that allows malware to receive commands from an attacker while avoiding detection. The main objective of this thesis is to build a system for the detection and classification of DGA domains in order to uncover malicious communication. For the purpose of detection, a binary classifier based on machine learning is designed and implemented in this work. Classification plays a crucial role in the automated analysis of malware and thus ensures proactive defense. Additionally, 4 classifiers based on different approaches are introduced for the classification of domains into DGA families. Subsequently, the advantages and disadvantages of presented approaches are identified. The final implementation of multi-class classification consists of a combination of classifiers that provide the best results. Furthermore, this work identifies characteristics specific to DGA domains that are necessary for the creation of classifiers. Testing the resulting implementation of classifiers demonstrates high accuracy in both DGA domain detection and classification.
The DGA (Domain Generation Algorithm) is a technique that allows malware to receive commands from an attacker while avoiding detection. The main objective of this thesis is to build a system for the detection and classification of DGA domains in order to uncover malicious communication. For the purpose of detection, a binary classifier based on machine learning is designed and implemented in this work. Classification plays a crucial role in the automated analysis of malware and thus ensures proactive defense. Additionally, 4 classifiers based on different approaches are introduced for the classification of domains into DGA families. Subsequently, the advantages and disadvantages of presented approaches are identified. The final implementation of multi-class classification consists of a combination of classifiers that provide the best results. Furthermore, this work identifies characteristics specific to DGA domains that are necessary for the creation of classifiers. Testing the resulting implementation of classifiers demonstrates high accuracy in both DGA domain detection and classification.
Description
Citation
BUČKO, F. Klasifikace doménových jmen generovaných algoritmy DGA [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
Informační technologie
Comittee
doc. Ing. Ondřej Ryšavý, Ph.D. (předseda)
doc. Ing. Vladimír Drábek, CSc. (člen)
Ing. Bohuslav Křena, Ph.D. (člen)
doc. Ing. Vítězslav Beran, Ph.D. (člen)
Dr. Ing. Petr Peringer (člen)
Date of acceptance
2023-06-13
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení