Detecção de domínios maliciosos em tráfego de DNS passivo utilizando fontes de inteligência de ameaças e aprendizado de máquina

Abstract

O Domain Name System (DNS) é um protocolo essencial para o funcionamento da Internet. No entanto, devido ao seu amplo alcance e presença na vida dos usuários, também se tornou um alvo frequente de exploração por agentes maliciosos em ataques como phishing, spam, distribuição de malwares e Command-and-Control (C2). As abordagens tradicionais de detecção baseadas exclusivamente em listas de bloqueio apresentam limitações significativas na identificação precoce de novas ameaças, devido ao tempo necessário para catalogação dos domínios maliciosos. Este trabalho propõe o desenvolvimento de um sistema modular para detecção de domínios maliciosos por meio da análise de tráfego de DNS passivo em uma rede de computadores de produção. A abordagem híbrida combina fontes de inteligência de ameaças com técnicas de aprendizado de máquina, utilizando o algoritmo Random Forest treinado com características léxicas, de DNS ativo e Term Frequency-Inverse Document Frequency (TF-IDF). O sistema foi validado com dados reais do servidor recursivo da Universidade Estadual Paulista “Júlio de Mesquita Filho” (UNESP), que processa aproximadamente 23 milhões de consultas diárias. O modelo proposto alcançou AUC de 0.918 e F1-score de 0.81 em dados de teste, demonstrando capacidade de detecção precoce de ameaças não catalogadas em listas de bloqueio. Durante oito meses de monitoramento em ambiente real, o sistema identificou entre 622 e 829 domínios maliciosos mensalmente, com especificidade superior a 0.94. Os resultados são disponibilizados por meio de uma Application Programming Interface (API) integrada a dashboards visuais no Framework DNS, fornecendo aos analistas de segurança informações enriquecidas com dados de geolocalização, Autonomous Systems (AS) e origem das ameaças, permitindo análises forenses detalhadas e tomada de decisões fundamentadas em múltiplas camadas de proteção.