Luận văn: Hệ thống phát hiện mã độc DGA dựa trên học tăng cường

Luận văn: Hệ thống và phương pháp phát hiện thiết bị nhiễm mã độc DGA dựa trên học tăng cường. Nghiên cứu chuyên sâu về an ninh mạng.

Chuyên ngành

Khoa Học Dữ Liệu

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2021

75
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

PHIẾU GIAO NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP

DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT

Lý do lựa chọn đề tài

Tính cấp thiết của đề tài

1. CHƯƠNG 1: Tổng quan về Botnet và Bomet DGA

1.1. Vòng đời của Botnet

1.2. Hình trạng mạng Botnet

1.3. Phân tích đặc điểm của mã độc DGA

2. Mô hình hệ thống giám sát phát hiện DGA Botnet

1.21. Cấu trúc chung

1.22. Thu thập hạn lượng DNS

1.23. Phát hiện lưu lượng DNS sinh ra bởi DGA Botnet

1.24. Phân cụm Botnet

1.25. Phát hiện máy chủ C&C

3. Phương pháp phân loại dựa trên học tăng cường

1.31. Ứng dụng học tăng cường và mô hình Markov trong phát hiện

1.32. Sơ đồ thuật toán

1.33. Ứng dụng xác suất từ hàm phân phối tích lũy Poisson

4. Ứng dụng xác suất từ hàm phân phối tích lũy Poisson

1.41. Khai niệm về phân phối Poisson

1.42. Hàm phân phối đề xuất

2. CHƯƠNG 2: XÂY DỰNG BỘ DỮ LIỆU THỬ NGHIỆM

2.1. Mô tả dữ liệu

2.2. Xây dựng môi trường thử nghiệm

2.2.1. Khảo sát thực tế

2.2.2. Phương án đề xuất

2.2.3. Kịch bản thử nghiệm và thu thập mẫu

2.2.4. Hệ thống thu thập mẫu DNS thường

2.2.5. Hệ thống thu thập mẫu DNS máy ảo nhiễm DGA

2.2.6. Kịch bản triển khai

2.2.7. Quy trình thu thập mẫu DNS thường

2.2.8. Quy trình thu thập mẫu DNS của máy nhiễm DGA

2.3. Kết quả thực tế

2.3.1. Thu thập mẫu và phân tích dữ liệu

2.3.2. Phân tích và chọn lọc các mẫu DNS của máy nhiễm DGA

2.3.3. Phân tích và chọn lọc các mẫu DNS thường

2.3.4. Ghép mẫu DNS thường và DNS của máy nhiễm DGA

2.3.5. Xây dựng tập dữ liệu thử nghiệm với đa dạng cơ chế sinh tên miền

3. CHƯƠNG 3: KẾT QUẢ THỬ NGHIỆM

3.1. Các tham số đánh giá độ chính xác phân loại

3.2. Hiệu năng thực thi thuật toán

3.3. Kết quả thử nghiệm bộ dữ liệu hành vi DNS thường

3.4. Kết quả thử nghiệm bộ dữ liệu DGA

3.5. Kết quả thử nghiệm bộ dữ liệu Bypass Adversarial DGA

3.6. Kết luận

3.7. Hướng phát triển của đề án trong tương lai

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Về Mã Độc DGA và Phương Pháp Phát Hiện DGA

Mã độc DGA (Domain Generation Algorithm) là một mối đe dọa an ninh mạng ngày càng gia tăng. DGA sử dụng thuật toán để tạo ra một lượng lớn tên miền. Các tên miền này được sử dụng để thiết lập kết nối với máy chủ C&C (Command & Control) của botnet, cho phép kẻ tấn công duy trì quyền kiểm soát các thiết bị bị nhiễm. Việc phát hiện các thiết bị nhiễm mã độc DGA là một thách thức lớn do tính chất thay đổi liên tục của tên miền. Các phương pháp truyền thống dựa trên danh sách đen tên miền (blacklist) nhanh chóng trở nên lỗi thời. Luận văn này tập trung vào việc nghiên cứu và phát triển một hệ thống phát hiện xâm nhập hiệu quả, sử dụng học tăng cường (Reinforcement Learning) để đối phó với sự phức tạp của DGA. Mục tiêu là xây dựng một hệ thống có khả năng tự động học hỏi và thích ứng với các mẫu tên miền mới, từ đó nâng cao khả năng phòng chống DGA một cách chủ động. Theo nghiên cứu, các botnet DGA thường xuyên thay đổi tên miền để tránh bị phát hiện (theo "Vòng đời Botnet DGA" trong tài liệu gốc).

1.1. Tìm hiểu về DGA Domain Generation Algorithm Botnet

DGA (Domain Generation Algorithm) là một kỹ thuật được sử dụng bởi mã độc để tạo ra một số lượng lớn tên miền, thường là vô nghĩa. Mục đích của việc này là để các máy chủ C&C của botnet có thể thay đổi địa chỉ liên tục, tránh bị các biện pháp giải pháp an ninh mạng truyền thống như chặn DNS phát hiện. Một botnet DGA hoạt động bằng cách lây nhiễm vào nhiều thiết bị, tạo thành một mạng lưới. Các thiết bị bị nhiễm này (gọi là bot) sẽ sử dụng thuật toán DGA để tạo ra một danh sách các tên miền tiềm năng. Các bot này sau đó cố gắng kết nối với các tên miền này để tìm máy chủ C&C đang hoạt động. Do số lượng lớn tên miền được tạo ra, việc chặn tất cả các tên miền này là không khả thi. Hơn nữa, các thuật toán DGA có thể được thay đổi liên tục, khiến cho việc phân tích DGA tĩnh trở nên khó khăn. Vì vậy, cần có các phương pháp phân tích hành viphân tích tên miền hiệu quả hơn để phát hiện DGA.

1.2. Thách Thức trong Phát Hiện Mã Độc DGA hiện nay

Việc phát hiện mã độc DGA đặt ra nhiều thách thức đáng kể. Thứ nhất, số lượng tên miền được tạo ra bởi DGA là rất lớn, làm cho việc chặn danh sách đen trở nên không hiệu quả. Thứ hai, các thuật toán DGA liên tục phát triển và thay đổi, khiến cho các phương pháp dựa trên chữ ký (signature-based) nhanh chóng trở nên lỗi thời. Thứ ba, phân tích lưu lượng mạng để phát hiện DGA có thể gặp khó khăn do lưu lượng truy cập DNS thường xuyên diễn ra và lẫn lộn với các truy vấn hợp lệ. Cuối cùng, nhiều mã độc botnet sử dụng các kỹ thuật che giấu (obfuscation) để làm cho việc phân tích DGA động trở nên phức tạp hơn. Các thách thức này đòi hỏi các phương pháp phát hiện mã độc DGA tiên tiến hơn, chẳng hạn như sử dụng mô hình học máyhọc tăng cường. Cần phải liên tục cập nhật các dataset DGA để huấn luyện các mô hình học máy.

II. Cách Tiếp Cận Học Tăng Cường Phát Hiện Mã Độc DGA

Bài toán phát hiện mã độc DGA có thể được mô hình hóa như một bài toán quyết định Markov (Markov Decision Process - MDP). Trong đó, trạng thái (state) đại diện cho trạng thái của lưu lượng mạng và hành động (action) là quyết định phân loại tên miền là độc hại hay không. Học tăng cường cho phép hệ thống học một chính sách (policy) tối ưu để đưa ra quyết định phân loại, bằng cách tương tác với một môi trường mô phỏng DGA. Hệ thống sẽ nhận được phần thưởng (reward) cho mỗi quyết định đúng đắn và bị phạt (penalty) cho mỗi quyết định sai lầm. Qua quá trình học, hệ thống sẽ dần dần cải thiện khả năng phát hiện mã độc DGA. Theo sơ đồ thuật toán trong luận văn, việc sử dụng HMM (Hidden Markov Model)phân phối Poisson giúp tăng độ chính xác.

2.1. Ứng dụng Học Tăng Cường Reinforcement Learning trong Cybersecurity

Học tăng cường (Reinforcement Learning) đang ngày càng được ứng dụng rộng rãi trong lĩnh vực Cybersecurity, bao gồm hệ thống phát hiện xâm nhập. Ưu điểm của học tăng cường là khả năng tự động học hỏi và thích ứng với các môi trường thay đổi, điều này rất quan trọng trong bối cảnh các mối đe dọa an ninh mạng liên tục phát triển. Reinforcement Learning for Cybersecurity có thể được sử dụng để huấn luyện các mô hình học máy phát hiện các hành vi bất thường, dự đoán các cuộc tấn công và tự động phản ứng với các sự cố bảo mật. Các thuật toán như Q-LearningPolicy Gradient có thể được sử dụng để xây dựng các hệ thống phòng thủ thông minh, có khả năng bảo vệ giải pháp an ninh mạng một cách chủ động.

2.2. Sử Dụng Mô Hình Markov và Học Tăng Cường Sâu Deep Reinforcement Learning

Kết hợp mô hình Markov với học tăng cường sâu (Deep Reinforcement Learning) mang lại nhiều lợi thế trong việc phát hiện mã độc DGA. Mô hình Markov cho phép hệ thống mô tả các trạng thái của hệ thống và xác suất chuyển đổi giữa các trạng thái. Học tăng cường sâu sử dụng mạng nơ-ron sâu (mạng nơ-ron tái phát (RNN), LSTM (Long Short-Term Memory), GRU (Gated Recurrent Unit)) để học các biểu diễn phức tạp của dữ liệu và đưa ra các quyết định tối ưu. Sự kết hợp này cho phép hệ thống không chỉ phát hiện các mẫu tên miền bất thường mà còn dự đoán các hành vi tấn công trong tương lai. Ví dụ, hệ thống có thể học cách nhận biết các chuỗi truy vấn DNS liên tiếp có khả năng cao là do mã độc botnet tạo ra.

III. Phương Pháp Ước Lượng Xác Suất với Phân Phối Poisson Phát Hiện DGA

Luận văn đề xuất sử dụng công thức phân phối tích lũy Poisson để ước lượng xác suất xuất hiện của các tên miền DGA. Phân phối Poisson phù hợp để mô hình hóa số lượng sự kiện xảy ra trong một khoảng thời gian hoặc không gian nhất định, khi các sự kiện xảy ra độc lập với nhau và với tốc độ trung bình không đổi. Việc sử dụng phân phối Poisson cho phép hệ thống ước lượng khả năng một tên miền được tạo ra bởi DGA dựa trên tần suất xuất hiện của nó. Việc kết hợp công thức phân phối tích lũy Poisson giúp nâng cao độ chính xác của hệ thống phát hiện xâm nhập trong việc phát hiện mã độc DGA.

3.1. Tại Sao Phân Phối Poisson Hiệu Quả trong Phân Tích DGA

Phân phối Poisson là một công cụ thống kê mạnh mẽ để phân tích hành vi của DGA. Nó giả định rằng số lượng truy vấn tên miền được tạo ra bởi DGA trong một khoảng thời gian nhất định tuân theo một phân phối Poisson. Điều này có nghĩa là các truy vấn tên miền xuất hiện một cách ngẫu nhiên và độc lập với nhau, với một tỷ lệ trung bình nhất định. Bằng cách ước tính tỷ lệ này cho một tên miền cụ thể, hệ thống có thể xác định xem tên miền đó có khả năng được tạo ra bởi DGA hay không. Các tên miền có tỷ lệ truy vấn cao bất thường có thể được đánh dấu là đáng ngờ và được kiểm tra thêm. Công thức phân phối Poisson giúp phân tích tên miền hiệu quả hơn.

3.2. Tối Ưu Thuật Toán Phát Hiện DGA Dựa Trên Ước Lượng Xác Suất

Việc sử dụng phân phối Poisson có thể được kết hợp với các thuật toán học máy khác để tạo ra một hệ thống phát hiện mã độc DGA mạnh mẽ hơn. Ví dụ, kết quả ước lượng xác suất từ phân phối Poisson có thể được sử dụng như một đặc trưng (feature) trong một mô hình học máy. Điều này cho phép mô hình học máy tận dụng thông tin về tần suất xuất hiện của tên miền để cải thiện khả năng phân loại. Các thuật toán như mạng nơ-ron (RNN), LSTM, và GRU có thể được huấn luyện để nhận biết các mẫu truy vấn tên miền bất thường, kết hợp với thông tin xác suất từ phân phối Poisson, để đạt được độ chính xác cao hơn. Luận văn gốc đã chứng minh sự phù hợp của việc áp dụng phân phối Poisson.

IV. Xây Dựng Bộ Dữ Liệu Thử Nghiệm và Đánh Giá Hiệu Năng Phát Hiện

Để đánh giá hiệu quả của phương pháp phát hiện mã độc DGA dựa trên học tăng cường và phân phối Poisson, một bộ dữ liệu thử nghiệm đã được xây dựng. Bộ dữ liệu này bao gồm các mẫu lưu lượng mạng chứa cả các tên miền được tạo ra bởi DGA và các tên miền hợp lệ. Các mẫu DGA được thu thập từ nhiều nguồn khác nhau, bao gồm các mẫu mã độc botnet đã biết và các mẫu được tạo ra bằng cách mô phỏng các thuật toán DGA. Bộ dữ liệu này được sử dụng để huấn luyện và kiểm tra mô hình học máy. Đánh giá hiệu năng được thực hiện bằng cách sử dụng các chỉ số như tỷ lệ phát hiện (Detection Rate)tỷ lệ dương tính giả (False Positive Rate). Kết quả thử nghiệm cho thấy phương pháp đề xuất có khả năng phát hiện mã độc DGA hiệu quả với độ chính xác cao.

4.1. Thu Thập và Xây Dựng Bộ Dữ Liệu Đặc Trưng DGA

Việc xây dựng một bộ dữ liệu chất lượng cao là rất quan trọng để huấn luyện và đánh giá hiệu năng của bất kỳ hệ thống phát hiện mã độc DGA nào. Bộ dữ liệu cần phải bao gồm các mẫu tên miền được tạo ra bởi nhiều thuật toán DGA khác nhau, cũng như các mẫu tên miền hợp lệ. Quá trình thu thập dữ liệu có thể bao gồm việc phân tích lưu lượng mạng thực tế, thu thập các mẫu mã độc botnet, và mô phỏng các thuật toán DGA. Bộ dữ liệu cần phải được gắn nhãn chính xác để đảm bảo rằng mô hình học máy được huấn luyện đúng cách. Theo luận văn, bộ dữ liệu được thu thập trong 6 tháng, gồm 18.280 mẫu.

4.2. Các Tiêu Chí Đánh Giá Hiệu Năng Hệ Thống Phát Hiện DGA

Để đánh giá hiệu năng của hệ thống phát hiện mã độc DGA, cần sử dụng các tiêu chí phù hợp. Các tiêu chí phổ biến bao gồm tỷ lệ phát hiện (Detection Rate), tỷ lệ dương tính giả (False Positive Rate), độ chính xác (Precision), độ phủ (Recall) và điểm F1 (F1-Score). Tỷ lệ phát hiện đo lường khả năng của hệ thống trong việc phát hiện chính xác các tên miền được tạo ra bởi DGA. Tỷ lệ dương tính giả đo lường tần suất hệ thống phân loại sai các tên miền hợp lệ là độc hại. Độ chính xác và độ phủ cung cấp thông tin chi tiết hơn về hiệu suất của hệ thống. Điểm F1 là một thước đo tổng hợp kết hợp cả độ chính xác và độ phủ.

V. Kết Quả Thử Nghiệm và Phân Tích Ưu Nhược Điểm Của Giải Pháp

Kết quả thử nghiệm cho thấy phương pháp phát hiện mã độc DGA dựa trên học tăng cường và phân phối Poisson đạt được hiệu quả cao trong việc phân tích lưu lượng mạng. Hệ thống có khả năng phát hiện chính xác các tên miền được tạo ra bởi DGA với tỷ lệ phát hiện cao và tỷ lệ dương tính giả thấp. Tuy nhiên, phương pháp này cũng có một số hạn chế. Thứ nhất, việc huấn luyện mô hình học máy đòi hỏi một lượng lớn dữ liệu. Thứ hai, hệ thống có thể gặp khó khăn trong việc phát hiện các thuật toán DGA mới chưa được biết đến. Thứ ba, việc triển khai hệ thống trong môi trường thực tế có thể đòi hỏi các nguồn lực tính toán đáng kể.

5.1. Phân Tích Độ Chính Xác và Khả Năng Thích Ứng Của Mô Hình

Việc phân tích độ chính xác của mô hình học máy là rất quan trọng để đảm bảo rằng hệ thống phát hiện mã độc DGA hoạt động hiệu quả trong môi trường thực tế. Độ chính xác có thể bị ảnh hưởng bởi nhiều yếu tố, bao gồm chất lượng của bộ dữ liệu huấn luyện, lựa chọn thuật toán học máy, và các tham số cấu hình của hệ thống. Khả năng thích ứng của mô hình cũng rất quan trọng, đặc biệt là trong bối cảnh các thuật toán DGA liên tục phát triển. Mô hình cần có khả năng học hỏi từ các mẫu dữ liệu mới và thích ứng với các thay đổi trong hành vi của DGA.

5.2. So Sánh Với Các Phương Pháp Phát Hiện Mã Độc DGA Truyền Thống

So sánh phương pháp đề xuất với các phương pháp phát hiện mã độc DGA truyền thống là rất quan trọng để đánh giá ưu điểm và nhược điểm của nó. Các phương pháp truyền thống thường dựa trên danh sách đen, phân tích DGA tĩnh, và phân tích lưu lượng mạng. Ưu điểm của các phương pháp này là đơn giản và dễ triển khai. Tuy nhiên, chúng thường không hiệu quả trong việc phát hiện các thuật toán DGA mới và có thể tạo ra nhiều dương tính giả. Phương pháp học tăng cường và phân phối Poisson có thể cung cấp độ chính xác cao hơn và khả năng thích ứng tốt hơn so với các phương pháp truyền thống.

VI. Kết Luận và Hướng Phát Triển Cho Nghiên Cứu Phát Hiện DGA

Luận văn đã trình bày một phương pháp tiếp cận mới để phát hiện mã độc DGA dựa trên học tăng cường và phân phối Poisson. Kết quả thử nghiệm cho thấy phương pháp này có khả năng phát hiện mã độc DGA hiệu quả với độ chính xác cao. Tuy nhiên, vẫn còn nhiều hướng phát triển tiềm năng cho nghiên cứu này. Các hướng phát triển bao gồm việc cải thiện khả năng thích ứng của mô hình học máy, phát triển các phương pháp để phát hiện các thuật toán DGA mới, và triển khai hệ thống trong môi trường thực tế. Việc kết hợp các kỹ thuật phân tích hành vi, phân tích tên miền, và phân tích lưu lượng mạng cũng có thể giúp nâng cao hiệu quả của hệ thống.

6.1. Đề Xuất Các Hướng Nghiên Cứu Tương Lai Về Phát Hiện DGA

Các hướng nghiên cứu tương lai có thể tập trung vào việc phát triển các thuật toán học tăng cường tiên tiến hơn, sử dụng các mô hình học máy phức tạp hơn, và kết hợp các kỹ thuật phân tích dữ liệu khác nhau. Nghiên cứu cũng có thể tập trung vào việc phát triển các phương pháp để phát hiện các thuật toán DGA dựa trên ngôn ngữ tự nhiên, sử dụng các kỹ thuật xử lý ngôn ngữ tự nhiên (NLP). Cuối cùng, việc nghiên cứu về các phương pháp phòng thủ chủ động, có khả năng ngăn chặn các cuộc tấn công DGA trước khi chúng gây ra thiệt hại, cũng rất quan trọng.

6.2. Ứng Dụng Giải Pháp Phát Hiện DGA Trong Thực Tế An Ninh Mạng

Việc triển khai giải pháp phát hiện mã độc DGA trong môi trường thực tế đòi hỏi sự tích hợp với các giải pháp an ninh mạng hiện có, chẳng hạn như hệ thống phát hiện xâm nhập (IDS)hệ thống ngăn chặn xâm nhập (IPS). Hệ thống cần có khả năng xử lý lưu lượng mạng lớn và cung cấp thông tin cảnh báo kịp thời cho các nhà quản trị mạng. Việc tự động hóa quá trình ứng phó với các cuộc tấn công DGA, chẳng hạn như chặn các tên miền độc hại, cũng rất quan trọng. Cuối cùng, việc chia sẻ thông tin về các thuật toán DGA và các mẫu tên miền độc hại giữa các tổ chức an ninh mạng có thể giúp nâng cao khả năng phòng thủ chung.

11/09/2025

Trích đoạn nội dung tài liệu

Chương 1 -_ Cập nhật lại các trích đẫn đề mục về hình và bảng, - _ Cập nhật thèm các mô tá về bộ dử liệu và hiệu năng chạy chương trình. - _ Vẽ lại lưu đồ thuật toàn ð mụe 1. Ngày 4 tháng 5 nấm 2021 Giáo viên hướng dẫn Tác giả luận văn CHỦ TỊCH HỘI ĐÔNG tà PHIEU GIAO NHTEM VU LUAN VAN TOT NGHIEP 1. Thông tin về học viên.

Họ và tên học viên _ : Nguyễn Quốc Khánh Điện thoại liên lạc _ : 0399589889 Email: ngkpro96@gmail.com Lop: 19BKHDL TỆ đào tạo: Thạc sĩ khoa học Luan văn tốt nghiệp được thực hiện tại: trưng tâm án toàn an ninh thông tin Bach Khoa BCS, phong 405 B1, rường Đại học Bách Khoa Hà Nội. Thời gian thực hiện luận văn: Tử ngày 10/2020 đến ngày 05/2021 2. Mục địch nội dung ctia DATN Nghiên cứu mã độc DGA và xây dụng bộ dữ liệu hành vị mã độc DGA. Đáng góp thuật toán tróc lượng xác suất chuyến trạng thái trong mô hinh Markov Ấn va chứng mình tính hiệu quả của thuật toán với bải toán phát hiện thiết bị bị nhiễm.

xuñ độc DGA. Các nhiệm vụ cụ thế của ĐATN - Nghiên cửu lý thuyết vẻ Bomect DGA va các mô hình phát hiện thiết bị bị nhiễm mnã độc DGA. - Xây dựng bộ dữ liệu mẫu về bành vi của các nhỏm mã độc DGA. - Phản tích các hành vĩ của các nhốm ruã độc TA.

- Xây dựng thuật toán ước lượng xác suất chuyên trạng thái trong mô hình Markov an va chứng mình tính hiệu quả của thuậi toàn với bài Loán phải hiện thiết bị bị nhiễm mã độc DGA. Phạm vị nghiên cứu Phương pháp sử dụng trong luận văn là học tăng cường. Cụ thể, luận văn đề cập đến mô hình HMM và ủng dụng hỗ trợ phân tích lịch sử cũng như hành vị tray vấn IDNS của mã độc tại mức mạng. Luận văn cũng đẻ xuất công thrức phân phổi tích lũy Poisson dẻ tình xác suất và cập nhật trạng thái thiết bị, từ dó nâng cao dé chỉnh xác của hệ thông trong phát hiện thiết bị bị nhiễm má độc DGA.

Lời cam doan của sinh viên: Tôi - Nguyễn Quốc Khánh - cam kết luận văn tốt nghiệp là công trình nghiền cửu của băn thân tôi dưới sự hưởng din cua PGS. ‘Iran Quang Dức. Cfo kat qua néu trong luận văn tốt nghiệp là trung thục, không phải là sao chép toàn văn pủa bất kỹ gông trình nào khác Hà Nội, ngày tháng năm 2021 Tác gia Nguyễn Quốc Khánh 3. Xác nhận của giáo viên hướng đâm về mức độ hoàn thành của luận vần tồL nghiệp và cho phép bão về Tà Nột ngày tháng năm 2021 Giáo viên hướng dẫn PGS.

Trân Quang Duc DANH MUC BINH VE Linh 1.1 Vong ddi Botnet DGA.2 [Linh tang mang Botnet — Cấu trúc hình sao.3 [Enh trang mang Botnet — C4u tric phân cắp.4 Hình trạng mạng Bolnel — Cau trúc ngẫu nhiên.5 Thống kê nhóm truy vấn DNS trả về.6 Ilành vị che đầu gói tin DNS trong nội dụng của gói tin ICMP.? Nội đụng gói tia ICMP có truy vẫn tên miễn của mã độc DGA.8 Minh họa về tên miễn DGA. được truy vẫn lặp lại theo chu kỹ.9 Hành vì DGA Huy vẫn DNS tới TP bắt thường - 30 Tình 1.10 Mô hình hệ thống phát hiện DGA Botret a Linh 1 11 Kién tric hé théng Phoenix.12 Mô hình biến đổi trạng thái ứng dụng bai toan quyét dinh Markov.13 Sơ đỏ thuật toán phát hiện DGA, dụa trên IIMM và Poisson 28 Hinh 1.14 Biéu dé phan phéi lich lay Poison cia mau ma déc DGA vai Blackhole, matsnu phién ban 1, banjori va conficker phién ban 1 - - 31 Tỉnh 1.15 Biéu dé phan phoi lich ly Poison eda mau mii déc DGA voi chinad, conficker phién ban 2, virut, và matsnu phiên bản 2 - - 31 Tình 2.1 Mô tã trường đữ liệu Lừ (ruy van DNS 32 Hình3.2 Mô tả hệ thống thu thập đữ liệu hành vi DGA.3 Mô tả hệ thống thu thập đữ liệu hành vi DNS thông thường, -.4 So sánh để thị mẫu oó vả không có DƠA.5 Sơ đồ các bước ghép mẫu hành vi DNS thường va DGA - 43 MỤC LỤC PHIẾU GIAO NHIỆM VỤ LUẬN VĂN TỐT NGIITẸP. DANH MỤC CÁC KỶ HIỆU VẢ TỪ VIẾT TẤT. DAT VAND! Lý đo lựa chọn để tải.

ác tnnerereerereere Tính cắp thiết của để tài. 11 Tổng quan về Botnet và Bomet DGA. - - 2 111 Vòng đời của Botnet. - - - 2 112 Hình trạng mạng Botnet - - - 14 113 Phân tích đặc điểm của mmñ độc DGA.

15 12 Mô hình hệ thống giám sát phát hiện DGA Botnet 2 121 Cầu trúc chưng, - - 2 122 Thu thập hạn lượng DNS.23 Phát hiện lưu lượng DNS sinh ra bởi DGA BotneL 22 1.24 Phân cụm Botnet. 44 125 Phát hiện máy chú C&C.5 13 Phương pháp phần loại dựa trên học tăng cường,. 131 Ứng dụng học tăng cường và mỗ hình Markov trong phát hiện.2 La đỗ thuật toán. cu ch xe cec ¬".4 Ung, dung xác suất từ hàm phân phối tích lầy Poissen.

29 141 Khai niém vé phan phdi Poisson. - - 29 142 TIảm phản phối dé xuât - - 30 CHUONG 2. XAY DUNG BO DU LIEU THU NGIDEM. 21 Mô tả dữ liện - - 32 22 Xây dựng môi trường thử nghiệm.

- - 33 Khảo sát thực tế - 33 Phương án để xuất. - 33 33 Kịch bản thứ nghiệm và thu thập mẫu 34 DANH MUC CAC KY HIEU VA TT VIET TAT Từ viết tắt Ý nghĩa DGA Domain Generation Algorithm. DNS Domain Name Server DDNS Dynamic Domain Name Server C&C Server Command & Control Server lol Internet of ‘Thing, DDOS Distributed Demal of Service P2P Peer-to-Peer TLD Top Level Domain SLD Second Level Domain DLL Dynamic-link library IPS Totrusion Prevention Systems IDS Intrusion Detection Systems 10 Cfo kat qua néu trong luận văn tốt nghiệp là trung thục, không phải là sao chép toàn văn pủa bất kỹ gông trình nào khác Hà Nội, ngày tháng năm 2021 Tác gia Nguyễn Quốc Khánh 3. Xác nhận của giáo viên hướng đâm về mức độ hoàn thành của luận vần tồL nghiệp và cho phép bão về Tà Nột ngày tháng năm 2021 Giáo viên hướng dẫn PGS.

Trân Quang Duc DANH MUC CAC KY HIEU VA TT VIET TAT Từ viết tắt Ý nghĩa DGA Domain Generation Algorithm. DNS Domain Name Server DDNS Dynamic Domain Name Server C&C Server Command & Control Server lol Internet of ‘Thing, DDOS Distributed Demal of Service P2P Peer-to-Peer TLD Top Level Domain SLD Second Level Domain DLL Dynamic-link library IPS Totrusion Prevention Systems IDS Intrusion Detection Systems 10 Hệ thống thu thập mẫu DNS thường 34 Hệ thống thu thap wu DNS may ảo nhiễm DGA 35 Kịch bản triển khái 36 Quy trình thư thập mẫu 1MB thườởng.- Quy trình thư thập mâu IN8 của máy nhiễm J2GA. 36 Kết quả thực tỀ. eo cccc set rdrerie ¬.

tà t9 au ‘Thu thap mau và phân tich dữ liệu.61 Phân tích và chọn lọc các mau DNS ctia may nhiém DGA.2 Phân tích và chọn lạc các mẫu DNS thường.3 Ghép mẫu DNS thường và DNS của máy nhiễm DGA.64 Xây dựng tập đữ liệu thử nghiệm với đạng cơ chế sinh tên miễn. đặt biệt %1 CHƯƠNG 3. KÉT QUÁ THỨ NGHIỆM.1 Các tham số đánh giá độ chính xác phân loại.2 Higu ming thie thi Hut tod. 33 Kết quả thử nghiệm bộ đữ liệu hành vi DNS thường - 49 34 Kết quả thử nghiệm bộ đữ liệu DGA.

- 49 35 Két qua thé nghiém bé dit ligu Bypass Adversarial DGA. 41 Kết luận - - - - - 33 42 Hưởng phát triển của để án rong tương lại 53 TÀI LIỆU THAM KHẢO. Hệ thống thu thập mẫu DNS thường 34 Hệ thống thu thap wu DNS may ảo nhiễm DGA 35 Kịch bản triển khái 36 Quy trình thư thập mẫu 1MB thườởng.- Quy trình thư thập mâu IN8 của máy nhiễm J2GA. 36 Kết quả thực tỀ.

eo cccc set rdrerie ¬. tà t9 au ‘Thu thap mau và phân tich dữ liệu.61 Phân tích và chọn lọc các mau DNS ctia may nhiém DGA.2 Phân tích và chọn lạc các mẫu DNS thường.3 Ghép mẫu DNS thường và DNS của máy nhiễm DGA.64 Xây dựng tập đữ liệu thử nghiệm với đạng cơ chế sinh tên miễn. đặt biệt %1 CHƯƠNG 3. KÉT QUÁ THỨ NGHIỆM.1 Các tham số đánh giá độ chính xác phân loại.2 Higu ming thie thi Hut tod.

33 Kết quả thử nghiệm bộ đữ liệu hành vi DNS thường - 49 34 Kết quả thử nghiệm bộ đữ liệu DGA. - 49 35 Két qua thé nghiém bé dit ligu Bypass Adversarial DGA. 41 Kết luận - - - - - 33 42 Hưởng phát triển của để án rong tương lại 53 TÀI LIỆU THAM KHẢO. Trời cảm tra Đầu liên, em xim gửi lời cảm em tới thấy hướng dẫn, PGS.

TS Trân Quang Đức, giảng viên Viện Công nghệ Thông tin và Truyền Thông, Đại học Bách Khoa Hà Nội. Thay là người có trách nghiệm cao, rất lận tâm và luôn nhiệt tình hướng đẫn em trong suốt quá trinh thực hiện để án. Đông thời cm cũng xin gửi lời cảm ơn châu thành và sâu sắc tới các thấy cô trong Viện Công nghệ Thông tin và Truyền thông đá truyền đạt cho em các kiến. thức bậc thạc sĩ.

Những kiến thức này đã giứp đỡ em rất nhiêu trong việc thực hiện đồ án và trong công việc thực tế. Ngoat ra em xin gửi lời cảm cm tới trung lâm An loàn an mình thông tin Bach Khoa — BKCS ở phòng 405 B1. Các thấy và các anh nghiên cứu sinh ở đây đã luôn giún đỡ em rất nhiều trong khi làm việc trên Lab cũng như khi thực hiện. Do sòn trẻ nên thời gian nghiên cứu cũng như làm việc trong ngành khoa học đữ liệu còn hạn chế nên chắc chắn em sẽ không tránh khỏi các thiểu sót trong luận văn của minh.

Vay nên em rất mong nhận được sự góp ý, chí báo của thầy cô để hoàn thiện tốt hơn. Em xin chân thành cảm ơnf Luận văn được tái trợ bởi Quỹ Phát triển khoa học và cảng nghệ Quốc gia (NAFOSTLD) trong đề tài mã số 102. ‘Lom tat nội dung luận văn Luận văn tập trung nghiên cửu vẻ DƠA Hotnet và các phương pháp phát hiện 1otnet DGA. Cụ thể, luận văn để cập đến mô hình 1LMM va ứng dụng trong phân.

tích lịch sử cũng như hành vi truy vẫn DN8 tại nức mạng, Trong luận văn, tôi đã đề xuất công thức phân phối tích lũy Poissơn dé Linh xác suất và cập nhật trạng thái thiết bị, từ đỏ nâng cao độ chính xác c¡ hệ thông trơng phát hiện thiết bị bị nhiểm má độc DGA. Để chứng mịnh và tính chỉnh các tham số cho thuật toán, tôi đã xây dựng hệ thông cũng như bộ đữ liệu thử nghiệm về mã độc DGA. Bộ dữ liêu dược thu thập trong thời gian 6 tháng, gốm tổng cộng 18.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ