Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the ae-pro domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /homepages/38/d827979063/htdocs/clickandbuilds/wikisicherheitsforschungnrw872547/wp-includes/functions.php on line 6121

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the show-modified-date-in-admin-lists domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /homepages/38/d827979063/htdocs/clickandbuilds/wikisicherheitsforschungnrw872547/wp-includes/functions.php on line 6121

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the content-control domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /homepages/38/d827979063/htdocs/clickandbuilds/wikisicherheitsforschungnrw872547/wp-includes/functions.php on line 6121

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the rocket domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /homepages/38/d827979063/htdocs/clickandbuilds/wikisicherheitsforschungnrw872547/wp-includes/functions.php on line 6121

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the ae-pro domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /homepages/38/d827979063/htdocs/clickandbuilds/wikisicherheitsforschungnrw872547/wp-includes/functions.php on line 6121
Domain Generation Algorithm Detection - Wiki.Sicherheitsforschung.NRW
Zum Inhalt springen
  • Home
  • Das Projekt
  • Wiki
  • Forschungslandkarte
  • Team
  • Kontakt
Menü Schließen
  • Home
  • Das Projekt
  • Wiki
  • Forschungslandkarte
  • Team
  • Kontakt

Domain Generation Algorithm Detection

  1. Wiki
  2. >
  3. Forschungsprojekte
  4. >
  5. Domain Generation Algorithm Detection

Domain Generation Algorithm Detection

Laufzeit:

bis:

Beschreibung

Bots kommunizieren mit einem Command & Control (C2) Server, um Anweisungen zu erhalten oder gesammelte Daten zu exfiltrieren. Da Verbindungsversuche zu einem C2-Server unter Verwendung fester IP-Adressen oder fester Domainnamen leicht blockiert werden können, sind Botnetze auf Domain Generation Algorithms (DGAs) angewiesen. DGAs generieren regelmäßig eine große Anzahl algorithmisch generierter Domainnamen (AGDs), die als Rendezvous-Punkte für einen C2-Server dienen. Diese AGDs werden pseudozufällig unter Verwendung eines Seeds generiert, sodass ein Botnet-Herder einen oder mehrere generierte Domain-Namen im Voraus vorhersagen und registrieren kann. Wenn die Bots einen dieser Domainnamen anfragen, erhalten sie eine gültige IP-Adresse für ihren C2-Server. Alle anderen Anfragen führen zu Non-Existent Domain (NXD) Antworten. Die Verwendung von DGAs erschwert es erheblich, alle möglichen Verbindungsversuche von Bots mit ihren C2-Servern zu verhindern. FANCI (Feature-based Automated NXDomain Classification and Intelligence) ist ein System welches durch das Überwachen der NXD-Antworten im DNS-Verkehr Infektionen mit DGA-basierter Malware erkennen kann. Es verwendet klassische Verfahren des maschinellen Lernens wie z.B. Support Vector Machines (SVMs) oder R andom Forests (RFs) , um Domainnamen in DGA-bezogene und gutartige NXDs zu klassifizieren. FANCI benötigt dafür keine zusätzlichen Kontextinformationen, da die Klassifizierung ausschließlich auf Grundlage von Merkmalen erfolgt, die aus den einzelnen Domainnamen extrahiert werden. Weiterführende Forschung beschäftigt sich mit der Verbesserung von FANCI und der Möglichkeit der Attributierung von AGDs zu den DGAs die diese erstellt haben ( Mehrklassen-Klassifizierung ). Gleichzeitig forschen wir an verschiedenen Deep Learning basierten Ansätzen für die Binäre- und Mehrklassen-Klassifizierung.

Projektleitung:
Arthur Drichel
Zur Website

Kategorisierung

Schlagwörter: Cyber
Bereich der Forschung:
Naturwissenschaftlich/ Technisch
Finanzierung:
Unbekannt/Keine Angabe

Weitersuchen

  • Eingabefeld

Detailsuche
  • Impressum
  • Datenschutzerklärung
  • Cookie-Richtlinie (EU)
  • Institut-Login
Verwendung von Cookies
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
Optionen verwalten Dienste verwalten Verwalten von {vendor_count}-Lieferanten Lese mehr über diese Zwecke
Einstellungen anzeigen
{title} {title} {title}