- Wiki
- >
- Forschungsprojekte
- >
- Domain Generation Algorithm Detection
Laufzeit:
bis:
Beschreibung
Bots kommunizieren mit einem Command & Control (C2) Server, um Anweisungen zu erhalten oder gesammelte Daten zu exfiltrieren. Da Verbindungsversuche zu einem C2-Server unter Verwendung fester IP-Adressen oder fester Domainnamen leicht blockiert werden können, sind Botnetze auf Domain Generation Algorithms (DGAs) angewiesen. DGAs generieren regelmäßig eine große Anzahl algorithmisch generierter Domainnamen (AGDs), die als Rendezvous-Punkte für einen C2-Server dienen. Diese AGDs werden pseudozufällig unter Verwendung eines Seeds generiert, sodass ein Botnet-Herder einen oder mehrere generierte Domain-Namen im Voraus vorhersagen und registrieren kann. Wenn die Bots einen dieser Domainnamen anfragen, erhalten sie eine gültige IP-Adresse für ihren C2-Server. Alle anderen Anfragen führen zu Non-Existent Domain (NXD) Antworten. Die Verwendung von DGAs erschwert es erheblich, alle möglichen Verbindungsversuche von Bots mit ihren C2-Servern zu verhindern. FANCI (Feature-based Automated NXDomain Classification and Intelligence) ist ein System welches durch das Überwachen der NXD-Antworten im DNS-Verkehr Infektionen mit DGA-basierter Malware erkennen kann. Es verwendet klassische Verfahren des maschinellen Lernens wie z.B. Support Vector Machines (SVMs) oder R andom Forests (RFs) , um Domainnamen in DGA-bezogene und gutartige NXDs zu klassifizieren. FANCI benötigt dafür keine zusätzlichen Kontextinformationen, da die Klassifizierung ausschließlich auf Grundlage von Merkmalen erfolgt, die aus den einzelnen Domainnamen extrahiert werden. Weiterführende Forschung beschäftigt sich mit der Verbesserung von FANCI und der Möglichkeit der Attributierung von AGDs zu den DGAs die diese erstellt haben ( Mehrklassen-Klassifizierung ). Gleichzeitig forschen wir an verschiedenen Deep Learning basierten Ansätzen für die Binäre- und Mehrklassen-Klassifizierung.