Ανίχνευση κίνησης DGA-based botnet με μεθόδους federated learning

Σουλιώτης, Γεώργιος

dc.contributor.author	Σουλιώτης, Γεώργιος	el
dc.date.accessioned	2021-03-16T06:40:34Z
dc.date.available	2021-03-16T06:40:34Z
dc.identifier.uri	https://dspace.lib.ntua.gr/xmlui/handle/123456789/53053
dc.identifier.uri	http://dx.doi.org/10.26240/heal.ntua.20751
dc.rights	Default License
dc.subject	Botnet	el
dc.subject	Domain generation algorithm (DGA)	el
dc.subject	Deep learning	el
dc.subject	Federated learning	el
dc.subject	Federated averaging	el
dc.subject	Passive DNS	en
dc.subject	Recursive DNS server	en
dc.title	Ανίχνευση κίνησης DGA-based botnet με μεθόδους federated learning	el
dc.contributor.department	Τοµεας Επικοινωνιων, Ηλεκτρονικης και Συστηµατων Πληροφορικης	el
heal.type	bachelorThesis
heal.classification	Ασφάλεια Δικτύων	el
heal.language	el
heal.access	free
heal.recordProvider	ntua	el
heal.publicationDate	2020-11-18
heal.abstract	Σήµερα, ένα µεγάλο ποσοστό των botnets χρησιµοποιούν Domain Generation Algorithms (DGAs), για να αποκρύπτουν την ταυτότητά τους µέσω της περιοδικής εναλλαγής του domain name που εκχωρείται στον C&C server. Σηµαντικό ϱόλο στην υλοποίηση των DGA παίζει το πρωτόκολλο DNS, του οποίου η κίνηση δεν αποκόπτεται από τα firewalls. Με την τεχνική αυτή, η κακόβουλη κίνηση µπορεί να παρακάµπτει τα στατικά συστήµατα ασφαλείας, ενώ ο εντοπισµός του C&C και η αποκοπή του από τα bots του καθίσταται εξαιρετικά απαιτητική διαδικασία. ΄Εχει παρατηρηθεί ότι η µορφή των domain names που παράγονται από DGA διαφέρει σηµαντικά από αυτή των νόµιµων ονοµάτων. Εκµεταλλευόµενοι την πληροφορία αυτή πολλοί ερευνητές έχουν στραφεί στην ανάπτυξη ταξινομητών µε µεθόδους Deep Learning, µε απώτερο σκοπό την ανίχνευση αλγοριθµικά παραγόµενων domain names. Συνήθως για την εκπαίδευση των ανιχνευτών χρησιµοποιούνται δεδοµένα που προκύπτουν από την ανάλυση εγγραφών Passive DNS. Ωστόσο, η καταπολέµηση των botnets που ϐασίζονται σε DGA, είναι µια πρόκληση την οποία για να ξεπεράσουν οι οργανισµοί ασφαλείας συχνά χρειάζεται να συνεργαστούν και πιθανώς να µοιραστούν τα δεδοµένα που διαθέτουν, για την εκπαίδευση αρτιότερων και πιο ενηµερωµένων µοντέλων. Εντούτοις, κάτω από τις παραδοσιακές συνθήκες εκπαίδευσης µε Distributed Deep Learning, όπου τα δεδοµένα εκπαίδευσης εκτίθενται σε έναν κεντρικό server, ο εµπορικός ανταγωνισµός και τα αυστηρά πρωτόκολλα ιδιωτικότητας αποτελούν τροχοπέδη στη συνεργασία αυτή. Προκειµένου να εξαλείψουµε τις ανησυχίες σχετικά µε το απόρρητο και την ασφάλεια των δεδοµένων, προτείνουµε σε αυτή τη διπλωµατική ένα περιϐάλλον συνεργατικής εκπαίδευσης που ϐασίζεται στη σύγχρονη αρχιτεκτονική του Federated Learning. Κατά την εκπαίδευση µε Federated Learning, τα µόνα δεδοµένα που ανταλλάσσονται, είναι τα τοπικά µοντέλα που εκπαιδεύονται σε κάθε client και αποστέλλονται σε έναν κεντρικό server για να συµψηφιστούν σε ένα νέο γενικό µοντέλο. Τα δεδοµένα εκπαίδευσης παραµένουν προστατευµένα στις τοπικές συσκευές καθ΄ όλη τη διάρκεια της εκπαίδευσης. Εποµένως, ένα σύστηµα ϐασισµένο σε αυτή τη ϕιλοσοφία ϕαίνεται να ανταποκρίνεται πλήρως στις ανάγκες που περιγράφηκαν προηγουµένως. Για τον λόγο αυτό, αναπτύσσουµε στην παϱούσα διπλωµατική µια πειραµατική διάταξη Federated Learning για την εκπαίδευση τριών Deep Learning µοντέλων (CNN, LSTM, Bidirectional LSTM). Σκοπός µας είναι να εξάγουµε τα απαραίτητα συµπεράσµατα σχετικά µε τις προοπτικές και τους περιορισµούς της τεχνικής αυτής, σε ό,τι αφορά την ανίχνευση DGA domain names.	el
heal.advisorName	Παπαβασιλείου, Συμεών	el
heal.committeeMemberName	Παπαβασιλείου, Συμεών, Ευστάθιος, Νεκτάριος Συκάς, Κοζύρης	el
heal.academicPublisher	Εθνικό Μετσόβιο Πολυτεχνείο. Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών. Τομέας Επικοινωνιών, Ηλεκτρονικής και Συστημάτων Πληροφορικής	el
heal.academicPublisherID	ntua
heal.numberOfPages	96 σ.	el
heal.fullTextAvailability	false