Integrazione di moduli funzionali in un'architettura software per la sperimentazione di tecniche di rilevamento di malware

Le botnet sono diventate uno dei principali strumenti per attacchi informatici. Attacchi basati su botnet risultano molto più efficaci rispetto ad altri tipi di attacchi. Negli ultimi anni l’uso di DGA (Domain Generation Algorithm) da parte delle botnet è aumentato, infatti attraverso questi algoritmi si riescono a superare le tecniche di difesa utilizzate contro di essi per rendere i collegamenti tra i bot e il master più sicuri ed affidabili. I DGA sono algoritmi in grado di generare in modo automatico un grandissimo numero di nomi di domino: uno di essi verrà poi utilizzato per instaurare il collegamento C&C (Command and Control) tra master e bot. In questa tesi è stato realizzato un software modulare che implementa una tecnica di rilevamento basata su algoritmi di Machine Learning che identifica la natura di un dominio, ovvero se tale dominio è benevolo o malevolo, ed in quest’ultimo caso attraverso un ulteriore classificazione ne identifica la famiglia di DGA a cui appartiene. Partendo da alcuni lavori svolti precedentemente da altri tesisti che implementavano l’intera tecnica, sono stati identificati 7 moduli che caratterizzano le diverse fasi della tecnica di rilevamento, in modo da realizzare un software finale meglio strutturato e più facile da usare. I test effettuati hanno dimostrato che il software modulare realizzato implementa correttamente l’intera tecnica di rilevamento.