TRANG THÔNG TIN LUẬN ÁN TIẾN SĨ
Tên đề tài luận án tiến sĩ: Nghiên cứu các kỹ thuật phát hiện DGA Botnet
Chuyên ngành: Hệ thống thông tin
Mã số: 9.48.01.04
Họ và tên NCS: Vũ Xuân Hạnh
Người hướng dẫn khoa học: 1. PGS.TS. Hoàng Xuân Dậu 2. TS. Ngô Quốc Dũng
Cơ sở đào tạo: Học viện Công nghệ Bưu chính Viễn thông
NHỮNG KẾT QUẢ MỚI CỦA LUẬN ÁN:
Luận án tập trung nghiên cứu, đề xuất một số mô hình phát hiện DGA botnet dựa trên các kỹ thuật học máy. Cụ thể, luận án tập trung vào các mục tiêu sau: (i) Nghiên cứu, đánh giá các phương pháp, kỹ thuật, giải pháp, công cụ phát hiện botnet hiện có; (ii) Nghiên cứu, đề xuất các mô hình phát hiện botnet dựa trên học máy có giám sát và học kết hợp sử dụng các tập đặc trưng phân loại tên miền mới nhằm nâng cao độ chính xác, giảm cảnh báo sai, đồng thời cho phép phát hiện nhiều dạng DGA botnet; (ii) – Cài đặt, thử nghiệm và đánh giá các mô hình phát hiện botnet đã đề xuất sử dụng các tệp dữ liệu thực tế. Đóng góp mới của quá trình nghiên cứu thể hiện trong luận án như sau:
- Một là: đề xuất mô hình phát hiện DGA botnet dựa trên học máy sử dụng các đặc trưng ký tự và các đặc trưng từ. Mô hình sử dụng các đặc trưng ký tự có khả năng phát hiện hiệu quả các character-based DGA botnet – là các botnet tự sinh tên miền sử dụng thuật toán ghép ngẫu nhiên các ký tự. Mô hình sử dụng các đặc trưng từ có khả năng phát hiện hiệu quả các word-based DGA botnet – là các botnet tự sinh tên miền sử dụng thuật toán ghép các từ theo từ điển..
- Hai là: đề xuất mô hình phát hiện DGA botnet dựa trên học kết hợp (ensemble learning). Mô hình này cho phép phát hiện hiệu quả cả character-based và word-based DGA botnet sử dụng thuật toán học kết hợp.
- Ba là: Các đề xuất phát hiện DGA botnet dựa trên tên miền thực thi hiệu quả hơn so với các phương pháp dựa trên lưu lượng mạng bởi giảm thiểu các đặc trưng, xử lý dữ liệu luồng và gói tin, do đó sẽ nhanh hơn, chi phí đỡ tốn kém hơn. Các mô hình khi đưa vào ứng sẽ được cài đặt tại DNS server nhằm ngăn chặn các bot có thể liên lạc được với CnC server hoặc trước firewall trong các hệ thống đơn lẻ nhằm phát hiện máy tính nào là bot.
CÁC ỨNG DỤNG, KHẢ NĂNG ỨNG DỤNG TRONG THỰC TIỄN HOẶC NHỮNG VẤN ĐỀ CÒN BỎ NGỎ CẦN TIẾP TỤC NGHIÊN CỨU:
Trên thực tế đã và đang trở thành một trong các nguy cơ gây mất an toàn thông tin hàng đầu do chúng không ngừng phát triển về cả quy mô và mức độ tinh vi trong các kỹ thuật chỉ huy và kiểm soát. Nhiều dạng botnet sử dụng kỹ thuật DGA để sinh và đăng ký nhiều tên miền ngẫu nhiên khác nhau cho máy chủ CnC của chúng nhằm chống lại việc bị kiểm soát và vô hiệu hóa. Vì vậy, liên quan đến những đề xuất mới của luận án, có thể liệt kê những vấn đề cần nghiên cứu trong các công trình tiếp theo như sau:
- Một là: Các hạn chế của mô hình kết hợp bao gồm: (i) thời gian huấn luyện và phát hiện dài hơn so với mô hình thành phần và (ii) mô hình kết hợp không có khả năng phát hiện một số DGA botnet thuộc họ mixed DGA, như Banjori.
- Hai là: việc phát triển hệ thống phát hiện DGA botnet dựa trên các mô hình phát hiện đề xuất chưa được ứng dụng trong thực tế mà mới ở mức độ thực nghiệm và đánh giá.
- Ba là: Trong vấn đề đề xuất mô hình phát hiện word-based DGA botnet, phạm vi nghiên cứu của luận án sử dụng các từ điển, danh mục từ thuần tiếng Anh. Xét đến các tên miền của Việt Nam, sử dụng các từ tiếng Việt trong dấu chưa được đề cập trong luận án.
INFORMATION OF THE DOCTORAL THESIS
Thesis title: ” Research on DGA Botnet detection techniques “
Speciality: Information System
Code: 9.48.01.04 PhD.
Candidate: Vu Xuan Hanh
Scientific supervisors: 1. Assoc. Prof. Hoang Xuan Dau, PhD 2. PhD. Ngo Quoc Dung
Training institution: Posts and Telecommunications Institute of Technology
NEW FINDINGS OF THE THESIS
The thesis focuses on researching and proposing some DGA botnet detection models based on machine learning techniques. Specifically, the thesis focuses on the following objectives: (i) Research and evaluate existing methods, techniques, solutions and tools to detect botnets; (ii) Research and propose botnet detection models based on supervised machine learning and combined learning using new domain classifier feature sets to improve accuracy, reduce false alarms, and at the same time allow detection of many types of DGA botnets; (ii) Install, test and evaluate proposed botnet detection models using actual data files. The new contributions of the research process shown in the thesis are as follows:
- Propose a machine learning-based DGA botnet detection model using character features and word features. The model using character features has the ability to effectively detect character-based DGA botnets, which are domain-generating botnets using a random character matching algorithm. The model using word features has the ability to effectively detect word-based DGA botnets – which generate domain names using a dictionary matching algorithm…
- Propose a DGA botnet detection model based on associative learning (ensemble learning). This model enables efficient detection of both character[1]based and word-based DGA botnets using associative learning algorithms.
- Domain-based DGA botnet detection recommendations perform better than network traffic-based methods by minimizing features, processing stream and packet data, and therefore faster and less costly. The application models will be installed at the DNS server to prevent bots from communicating with the CnC server or in front of the firewall in individual systems to detect which computer is the bot.
APPLICATIONS, PRACTICAL APPLICABILITY AND MATTERS THAT NEED FURTHER STUDIES
In fact, they have become one of the leading information security threats as they are constantly growing in both size and sophistication in command and control techniques. Many types of botnets use DGA to generate and register various random domains for their CnC servers to prevent censorship and disabling. Therefore, regarding the new proposals of the thesis, it is possible to list the issues that need to be studied in the next works as follows:
- The limitations of the association model include: (i) the training and detection time is longer than that of the component model and (ii) the combined model’s inability to detect some botnet DGAs belongs to the mixed DGA family, like Banjori.
- The development of a botnet DGA detection system based on the proposed detection models has not been applied in practice but is at the experiment and evaluation level.
- In the problem of proposing a word-based DGA botnet detection model, the research scope of the thesis uses pure English dictionaries and word lists. Considering the domain names of Vietnam, using Vietnamese words in accents has not been mentioned in the thesis.
Luận án tiến sỹ
Tóm tắt luận án tiến sỹ
Trang thông tin Luận án tiến sỹ Tiếng Việt
Tran g thông tin Luận án tiến sỹ Tiếng Anh.