| dc.contributor.author | Baruch, Moran | |
| dc.date.accessioned | 2017-01-18T09:41:36Z | |
| dc.date.available | 2017-01-18T09:41:36Z | |
| dc.date.issued | 2016 | |
| dc.identifier.other | oai:jykdok.linneanet.fi:1659122 | |
| dc.identifier.uri | https://jyx.jyu.fi/handle/123456789/52755 | |
| dc.description.abstract | Yksi yleisimmistä kyberhyökkäysistä on käyttää ryhmä yksityisiä tietokoneita (private
computers), joita käytetään esimerkiksi salaisien tietojen levittämiseen. Näitä koneryhmiä
kutsutaan botnet. Botnetit pysyvät havaitsemattomana käyttämällä Domain Name
Generation (DGA) menetelmää, joka luo ajoittain ja ratkaisee suurina lukumäärinä erillaisia
pseudosatunnaisia verkkotunnuksia, kunnes jokin näistä pseudosatunnaisista
verkkotunnuksista DNS palvelin hyväksyy. Tämän tutkielman tarkoitus on kehitellä ei-
ohjattuja koneoppimismenetelmiä ja vertailla näiden tarkkuutta ohjattuihin
koneoppimismenetelmiin DGA hyökkäyksien havaitsemiseen. Lisäksi, tutkielmassa
esitellään Random One Class Support Vector Machine (ROC-SVM) menetelmä, joka
havaitsee tarkemmin DGA hyökkäyksiä verrattuna ohjatuihin koneoppimismenetelmiin. | fi |
| dc.description.abstract | botnet is a network of private computers infected with malicious software and controlled
as a group without the knowledge of the owners. Botnets are used by cyber criminals for
various malicious activities such as stealing sensitive data, sending spam, launching
Distributed Denial of Service (DDoS) attacks, etc. A Command and Control (C&C) server
sends commands to the compromised hosts for executing those malicious activities. In order
to avoid detection, recent botnets such as Conficker, Zeus and Cryptolocker apply a
technique called Domain Fluxing or Domain Name Generation Algorithms (DGA), where
the infected bot is periodically generating and trying to resolve a large number of pseudo-
random domain names until one of them is resolved by the DNS server. In this thesis, we
survey different machine learning methods for detecting such DGAs by analyzing only the
alphanumeric characteristics of the domain names in the network. We propose unsupervised
models and evaluate their performance while comparing them with existing supervised
models used in previous researches in this field. In addition, we propose a novel approach
for unsupervised one-class SVM model for anomaly detection, which called Random One
Class SVM (ROC-SVM). Our proposed unsupervised methods achieve better results than
the compared supervised techniques, while detecting zero-day DGAs. If the run-time is of
main concern, our novel approach for unsupervised one-class SVM is the best model among
the others. | en |
| dc.format.extent | 1 verkkoaineisto (54 sivua) | |
| dc.format.mimetype | application/pdf | |
| dc.language.iso | eng | |
| dc.rights | Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea
ja tulostaa henkilökohtaista käyttöä varten. Käyttö
kaupallisiin tarkoituksiin on kielletty. | fi |
| dc.rights | This publication is copyrighted. You may download, display and
print it for Your own personal use. Commercial use is
prohibited. | en |
| dc.subject.other | rakenteeton data | |
| dc.subject.other | DGA-algoritmi | |
| dc.subject.other | botnet | |
| dc.title | DGA detection using machine learning methods | |
| dc.identifier.urn | URN:NBN:fi:jyu-201701181180 | |
| dc.type.ontasot | Pro gradu -tutkielma | fi |
| dc.type.ontasot | Master’s thesis | en |
| dc.contributor.tiedekunta | Informaatioteknologian tiedekunta | fi |
| dc.contributor.tiedekunta | Faculty of Information Technology | en |
| dc.contributor.laitos | Tietotekniikan laitos | fi |
| dc.contributor.laitos | Department of Mathematical Information Technology | en |
| dc.contributor.yliopisto | University of Jyväskylä | en |
| dc.contributor.yliopisto | Jyväskylän yliopisto | fi |
| dc.contributor.oppiaine | Tietotekniikka | fi |
| dc.contributor.oppiaine | Mathematical Information Technology | en |
| dc.date.updated | 2017-01-18T09:41:36Z | |
| dc.rights.accesslevel | openAccess | fi |
| dc.type.publication | masterThesis | |
| dc.contributor.oppiainekoodi | 602 | |
| dc.subject.yso | koneoppiminen | |
| dc.subject.yso | tietoturva | |
| dc.format.content | fulltext | |
| dc.type.okm | G2 | |
