Detekce botnetů založených na DGA

Abstract

Botnety predstavujú vážne hrozby pre kybernetickú bezpečnosť, pričom sú schopné spôsobiť rozsiahle škody na počítačových sieťach a systémoch. Významným spôsobom, akým botnety skrývajú svoju existenciu a komunikujú so servermi, je používanie algoritmov typu DGA na generovanie domén, ktoré umožňujú dynamické vytváranie doménových mien pre kontrolu botnetu. Práca sa zameriava na návrh a vývoj vysoko efektívneho a distribuovaného detekčného systému na analýzu vzorov komunikácie a správania botnetov v rámci sieťovej prevádzky systému DNS a identifikáciu doménových mien vytvorených na báze DGA. S využitím lexikálnych vlastností doménového mena, charakteristických pre DGA, boli porovnané viaceré techniky strojového učenia, s cieľom určiť klasifikátor, ktorý vykazuje najlepšie výsledky. Klasifikátor LightGBM, dosahujúci ROC-AUC skóre v hodnote až 99,18%, bol následne integrovaný do detekčného systému. Pre zabezpečenie funkčnosti a spoľahlivosti celého systému bolo vykonané jednotkové testovanie jednotlivých blokov a taktiež integračné testovanie s cieľom zaistenia vzájomnej kompatibility jednotlivých blokov. Výsledná implementácia detekčného systému dosahuje vysokú úspešnosť pri binárnej klasifikácii doménových mien vytvorených na báze DGA, čím zabezpečuje jeho pripravenosť na efektívne nasadenie v reálnych pracovných prostrediach.Botnets represent significant cybersecurity threats due to their potential to cause extensive damage to computer networks and systems. One primary method by which botnets conceal their existence and communicate with servers is through the use of Domain Generation Algorithms (DGA), which enable the dynamic creation of domain names for controlling the botnet. This thesis focuses on the design and development of a highly efficient and distributed detection system for analyzing communication patterns and behaviors of botnets within DNS network traffic and identifying domain names created based on DGA. Several machine learning techniques were compared, utilizing lexical features of domain names characteristic of DGA, to determine the classifier exhibiting the best results. The LightGBM classifier, achieving a ROC-AUC score of up to 99.18%, was subsequently integrated into the detection system. Unit testing of individual blocks and integration testing were performed to ensure the functionality and reliability of the entire system and the mutual compatibility of its components. The resulting implementation of the detection system achieves high accuracy in the binary classification of domain names created based on DGA, ensuring its readiness for effective deployment in real-world operational environments.