Rilevamento di malware da traffico DNS reale mediante classificazione basata su feature.

Botnets have recently become one of the biggest threats to Internet users. The evolution of software over the years has led cybercriminals to create increasingly complex bot networks in order to avoid malware detection and reverse-engineering techniques. Among the methods to avoid detection, one of the most used is based on the generation of DNS domains used for the connection between bot and botmaster. On the other hand, the techniques to detect malicious code have improved as the complexity of the malware itself increases, which is why antivirus and firewall based on heuristic and / or machine learning techniques have begun to be implemented. In this thesis we will use a neural network, in particular a pre-trained Multi-Layer-Perceptron that works on features extracted from domain names in order to classify DNS into benevolent and malicious. We will test it on a new dataset, created from real anonymized traffic and we will then compare the results with those of a network called "Long Short Term Multiclass Imbalance" (LSTM-MI), trained on the same dataset.

Recentemente le botnet sono diventate uno dei maggiori pericoli per gli utenti di Internet. L'evoluzione del software, negli anni, ha portato i cyber-criminali a creare reti di bot sempre più complesse, al fine di evitare il rilevamento del malware e le tecniche di reverse-engineering. Tra i metodi per evitare il rilevamento, uno dei più utilizzati è basato sulla generazione di domini DNS utilizzati per il collegamento tra bot e botmaster. D'altro canto le tecniche per rilevare codice malevolo sono migliorate all'aumentare della complessità dei malware stessi, motivo per il quale si è iniziato ad implementare antivirus e firewall basati su tecniceh euristiche e/o sul machine learning. In questa tesi si utilizzerà una rete neurale, in particolare un Multi-Layer-Perceptron pre-addestrato che lavora su caratteristiche (feature) estratte dai nomi di dominio al fine di classificare i DNS in benevoli e malevoli. La si testerà su un dataset nuovo, creato da traffico reale anonimizzato e si andrà poi a confrontare i risultati con quelli di una rete chiamata "Long Short Term Multiclass Imbalance" (LSTM-MI), addestrata sullo stesso dataset.