Detecção de domínios maliciosos por meio de DNS passivo utilizando XGBoost

Imagem de Miniatura

Arquivos

silveira_mr_me_sjrp.pdf (2.95 MB)

Data

2021-01-19

Autores

Orientador

Cansian, Adriano Mauro

Coorientador

Pós-graduação

Ciência da Computação - IBILCE

Curso de graduação

Título da Revista

ISSN da Revista

Título de Volume

Editor

Universidade Estadual Paulista (Unesp)

Tipo

Dissertação de mestrado

Direito de acesso

Acesso abertoAcesso Aberto

Resumo

Resumo (português)

Este trabalho apresenta um método para detecção de domínios maliciosos por meio do tráfego de DNS passivo. Para tanto, a abordagem utilizada é um dataset de DNS passivo como fonte de dados para a tarefa de classificação dos domínios entre maliciosos e legítimos. A partir deste dataset, são extraídas doze features exclusivas do tráfego DNS. Os registros presentes no dataset DNS passivo são rotulados utilizando allowlists e blocklists de nomes de domínios e IPs. Para balanceamento das classes, foi utilizado a técnica de Random Undersampling. Na etapa de treinamento, foram utilizados e comparados o desempenho dos três algoritmos de aprendizado de máquina supervisionado baseados em árvores de decisão. Os modelos foram testados considerando suas capacidades de identificar domínios maliciosos, o modelo com melhor desempenho foi o que utilizou o algoritmo XGBoost, com uma AUC média de 0,9776 e sem indicativos de overfitting presente.

Resumo (inglês)

This paper presents a method for detecting malicious domains through passive DNS traffic. For this, the approach used is a passive DNS dataset as a data source for the task of classifying the domains between malicious and legitimate. From this dataset, twelve exclusive features of DNS traffic are extracted. The records present in the passive DNS dataset are labeled using allowlists and blocklists of domain names and IPs. To balance the classes, the Random Undersampling technique was used. In the training stage, the performance of the three supervised machine learning algorithms based on decision trees was used and compared. The models were tested considering their ability to identify malicious domains, the model with the best performance was the one that used the XGBoost algorithm, with an average AUC of 0.9776 and with no indications of overfitting present.

Descrição

Palavras-chave

Domain name system , Domínios maliciosos , DNS passivo , Machine learning , Malicious domain , Passive DNS

Idioma

Português

Como citar

URI

http://hdl.handle.net/11449/202882

Itens relacionados

Financiadores

Coleções

Dissertações - Ciência da Computação - IBILCE