Rilevazione di malware da traffico DNS passivo con una rete neurale LSTM

The thesis focuses on the use of a Long Short-Term Memory neural network for the detection of malicious DNS traffic produced by malwares that use Domain Generation Algorithms to generate the web domain of their command and control servers. This study is based on real traffic gathered from query addressed to the DNS server of the network of Italian universities GARR over a defined time horizon. These data are then compared with different online resources to obtain an effective definition of malicious queries and the subdivision of these based on belonging to some DGA families. Once a control dataset has been acquired, multiple LSTM networks, trained on different pre-processed datasets, are used to test their recognition performance. Finally, a comparison of the various performances is effected, highlighting the strengths and weaknesses of each solution.

Il lavoro si focalizza su l’utilizzo di una rete neurale Long Short-Term Memory per l’intercettazione di traffico DNS malevolo da parte di malware che utilizzano Domain Generation Algorithms per la generazione del dominio dei loro server di comando e controllo. Lo studio si basa su traffico reale ottenuto da richieste indirizzate al server DNS della rete GARR delle università italiane in un orizzonte temporale definito. Tali dati vengono poi confrontati con diverse risorse online per l’effettiva definizione delle query malevole e la suddivisione di queste in base all’appartenenza ad alcune famiglie di DGA. Ottenuto un dataset di controllo si utilizzano più reti LSTM, addestrate su differenti set di dati pre-lavorati, per testarne le performance di riconoscimento. Viene infine effettuato un confronto delle diverse performance evidenziando punti forti e deboli di ogni soluzione.