Detecção de domínios maliciosos em tráfego de DNS passivo utilizando fontes de inteligência de ameaças e aprendizado de máquina
Carregando...
Data
Autores
Orientador
Cansian, Adriano Mauro 
Coorientador
Pós-graduação
Curso de graduação
São José do Rio Preto - IBILCE - Ciência da Computação
Título da Revista
ISSN da Revista
Título de Volume
Editor
Universidade Estadual Paulista (Unesp)
Tipo
Trabalho de conclusão de curso
Direito de acesso
Acesso aberto
Resumo
O Domain Name System (DNS) é um protocolo essencial para o funcionamento da Internet. No entanto, devido ao seu amplo alcance e presença na vida dos usuários, também se tornou um alvo frequente de exploração por agentes maliciosos em ataques como phishing, spam, distribuição de malwares e Command-and-Control (C2). As abordagens tradicionais de detecção baseadas exclusivamente em listas de bloqueio apresentam limitações significativas na identificação precoce de novas ameaças, devido ao tempo necessário para catalogação dos domínios maliciosos. Este trabalho propõe o desenvolvimento de um sistema modular para detecção de domínios maliciosos por meio da análise de tráfego de DNS passivo em uma rede de computadores de produção. A abordagem híbrida combina fontes de inteligência de ameaças com técnicas de aprendizado de máquina, utilizando o algoritmo Random Forest treinado com características léxicas, de DNS ativo e Term Frequency-Inverse Document Frequency (TF-IDF). O sistema foi validado com dados reais do servidor recursivo da Universidade Estadual Paulista “Júlio de Mesquita Filho” (UNESP), que processa aproximadamente 23 milhões de consultas diárias. O modelo proposto alcançou AUC de 0.918 e F1-score de 0.81 em dados de teste, demonstrando capacidade de detecção precoce de ameaças não catalogadas em listas de bloqueio. Durante oito meses de monitoramento em ambiente real, o sistema identificou entre 622 e 829 domínios maliciosos mensalmente, com especificidade superior a 0.94. Os resultados são disponibilizados por meio de uma Application Programming Interface (API) integrada a dashboards visuais no Framework DNS, fornecendo aos analistas de segurança informações enriquecidas com dados de geolocalização, Autonomous Systems (AS) e origem das ameaças, permitindo análises forenses detalhadas e tomada de decisões fundamentadas em múltiplas camadas de proteção.
Descrição
Palavras-chave
Ciência da computação, Segurança cibernética, Machine learning, Nomes de domínio na Internet, Fraude na Internet, Internet domain names, Internet fraud
Idioma
Português
Citação
BOFO, Guilherme Romanholo. Detecção de domínios maliciosos em tráfego de DNS passivo utilizando fontes de inteligência de ameaças e aprendizado de máquina. 2025. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Computação) – Instituto de Biociências Letras e Ciências Exatas, Universidade Estadual Paulista (UNESP), São José do Rio Preto, 2025.
