Đăng nhập để tải tài liệu không giới hạn
Tham gia 8.000+ người dùng Thư Viện Luận Án
Đang tải tài liệu...
NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN DGA BOTNET
Hệ thống thông tin
Luận án này tập trung nghiên cứu và phát triển các kỹ thuật phát hiện botnet DGA (Domain Generation Algorithm) dựa trên học máy, sử dụng dữ liệu truy vấn hệ thống DNS. Botnet là phần mềm độc hại cho phép kẻ tấn công kiểm soát từ xa các máy tính bị nhiễm (zombie), tạo thành mạng lưới botnet. Chúng là mối đe dọa an ninh mạng nghiêm trọng, gây ra các cuộc tấn công từ chối dịch vụ (DDoS), phát tán mã độc, giả mạo DNS, và đánh cắp thông tin nhạy cảm. Các botnet DGA đặc biệt tinh vi khi sử dụng thuật toán để tự động sinh và đăng ký các tên miền ngẫu nhiên cho máy chủ C&C (Command and Control), giúp chúng lẩn tránh các cơ chế rà quét và chặn lọc truyền thống.
Mục tiêu chính của luận án là giải quyết các hạn chế của các phương pháp phát hiện DGA botnet hiện có, cụ thể là tỷ lệ cảnh báo sai còn cao và khả năng phát hiện các họ DGA mới còn hạn chế. Luận án đề xuất hai mô hình phát hiện chính: CDM (Character-based DGA Botnet Detection Model) và WDM (Word-based DGA Botnet Detection Model). Mô hình CDM sử dụng 24 đặc trưng ký tự (bao gồm n-gram và phân bố ký tự) để phát hiện hiệu quả các botnet DGA dựa trên ký tự ngẫu nhiên. Mô hình WDM sử dụng 16 đặc trưng từ vựng (dựa trên từ điển và từ vựng) để phát hiện các botnet DGA dựa trên từ.
Để tận dụng ưu điểm của cả hai mô hình, luận án tiếp tục đề xuất một mô hình phát hiện DGA botnet dựa trên học kết hợp (ensemble learning), kết hợp CDM và WDM để phát hiện hiệu quả cả character-based và word-based DGA botnet. Kết quả thử nghiệm cho thấy mô hình CDM đạt độ chính xác chung trên 99.60% và tỷ lệ cảnh báo sai chỉ khoảng 0.4%. Mô hình WDM đạt độ đo F1 trên 95% cho các botnet DGA dựa trên từ. Đặc biệt, mô hình kết hợp đạt tỷ lệ phát hiện trung bình 99.53% trên 39 họ DGA botnet thử nghiệm, với khả năng phát hiện hiệu quả các botnet DGA mới. Các phương pháp đề xuất dựa trên phân tích tên miền truy vấn DNS chứng tỏ tính hiệu quả cao, chi phí thấp hơn so với các phương pháp dựa trên lưu lượng mạng, và khả năng triển khai tại các máy chủ DNS hoặc tường lửa.
Tải không giới hạn tất cả tài liệu, không cần chờ. Chỉ từ 199.000đ/tháng.
Xem gói hội viên