Detekce botnetů založených na DGA

Keznikl, Matej

Detekce botnetů založených na DGA

Files

final-thesis.pdf(13.36 MB)

review_155758.html(11.65 KB)

Authors

Keznikl, Matej

Advisor

Hranický, Radek

Referee

Setinský, Jiří

Mark

A

Publisher

Vysoké učení technické v Brně. Fakulta informačních technologií

Abstract

Botnety predstavujú vážne hrozby pre kybernetickú bezpečnosť, pričom sú schopné spôsobiť rozsiahle škody na počítačových sieťach a systémoch. Významným spôsobom, akým botnety skrývajú svoju existenciu a komunikujú so servermi, je používanie algoritmov typu DGA na generovanie domén, ktoré umožňujú dynamické vytváranie doménových mien pre kontrolu botnetu. Práca sa zameriava na návrh a vývoj vysoko efektívneho a distribuovaného detekčného systému na analýzu vzorov komunikácie a správania botnetov v rámci sieťovej prevádzky systému DNS a identifikáciu doménových mien vytvorených na báze DGA. S využitím lexikálnych vlastností doménového mena, charakteristických pre DGA, boli porovnané viaceré techniky strojového učenia, s cieľom určiť klasifikátor, ktorý vykazuje najlepšie výsledky. Klasifikátor LightGBM, dosahujúci ROC-AUC skóre v hodnote až 99,18%, bol následne integrovaný do detekčného systému. Pre zabezpečenie funkčnosti a spoľahlivosti celého systému bolo vykonané jednotkové testovanie jednotlivých blokov a taktiež integračné testovanie s cieľom zaistenia vzájomnej kompatibility jednotlivých blokov. Výsledná implementácia detekčného systému dosahuje vysokú úspešnosť pri binárnej klasifikácii doménových mien vytvorených na báze DGA, čím zabezpečuje jeho pripravenosť na efektívne nasadenie v reálnych pracovných prostrediach.
Botnets represent significant cybersecurity threats due to their potential to cause extensive damage to computer networks and systems. One primary method by which botnets conceal their existence and communicate with servers is through the use of Domain Generation Algorithms (DGA), which enable the dynamic creation of domain names for controlling the botnet. This thesis focuses on the design and development of a highly efficient and distributed detection system for analyzing communication patterns and behaviors of botnets within DNS network traffic and identifying domain names created based on DGA. Several machine learning techniques were compared, utilizing lexical features of domain names characteristic of DGA, to determine the classifier exhibiting the best results. The LightGBM classifier, achieving a ROC-AUC score of up to 99.18%, was subsequently integrated into the detection system. Unit testing of individual blocks and integration testing were performed to ensure the functionality and reliability of the entire system and the mutual compatibility of its components. The resulting implementation of the detection system achieves high accuracy in the binary classification of domain names created based on DGA, ensuring its readiness for effective deployment in real-world operational environments.

Keywords

DGA, botnet, bezpečnosť siete, strojové učenie, klasifikácia, DGA, botnet, network security, machine learning, classification

Citation

KEZNIKL, M. Detekce botnetů založených na DGA [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.

Language of document

sk

Study field

Informační technologie

Comittee

doc. Ing. Petr Matoušek, Ph.D., M.A. (předseda) Dr. Ing. Petr Peringer (člen) Ing. Matěj Grégr, Ph.D. (člen) doc. Ing. Michal Španěl, Ph.D. (člen) Ing. Lukáš Kekely, Ph.D. (člen)

Date of acceptance

2024-06-11

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení