Detekce maligních domén s využitím reputačních systémů v nástroji DomainRadar

Abstract

Tato práce přináší programové řešení pro detekci maligních doménových jmen založeném na výstupech z široké škály reputačních systémů. Klíčovým přínosem je detailní návrh a popis rozšíření existujícího nástroje DomainRadar o modul pro klasifikaci domén, který využívá data získaná z reputačních systémů. Součástí práce je rovněž experimentální zhodnocení dostupných reputačních systémů z hlediska schopnosti detekovat škodlivá doménová jména. V rámci práce byly vytvořeny a natrénovány dva samostatné klasifikátory modelu LightGBM, přičemž jeden je zaměřen na detekci phishingových domén a druhý na domény určené k distribuci malware. Na testovací sadě dosahuje vytvořený klasifikátor phishingových domén přesnosti 99 % a klasifikátor malwarových domén přesnosti 99.16 %.This thesis presents a software solution for detecting malicious domain names based on the output of a wide range of reputation systems. The key part is detailed design and implementation of an extension to the existing DomainRadar tool, adding a module for a domain classifier that utilizes data from reputation systems. The thesis also includes experimental evaluation of available reputation systems in terms of their ability to detect malicious domain names. As a part of the thesis, two separate LightGBM classifiers were created and trained - one focused on detecting phishing domain names and the other on detecting domain names used to distribute malware. The classifiers were evaluated using a test data set on which the phishing classifier achieved accuracy of 99% and the classifier for malware domain names reached accuracy of 99.16%.