DGA:Service Agreemement CTU-UNCUYO-2017

CARLOS A. CATANIA

2017-04-01

2017-07-01

Comunicaciones-Telecomunicaciones

Se trata de un servicio que fue realizado para la Universidad Técnica de República Checa en Praga (CTU), con el objeto de desarrollar un algoritmo basado en técnicas de aprendizaje automático para la detección de nombres de dominio generados de manera algorítmica (DGA, de sus siglas en inglés). En el contexto de la seguridad de redes de datos, un DGA es utilizado por el software malicioso (malware) para generar de manera dinámica un gran número de nombres de dominios de manera pseudo aleatoria, y luego utilizar un subconjunto de estos como parte del canal de Comando y Control (C&C). Este canal podrá luego ser utilizado para indicar, a las máquinas infectadas con el malware, diferentes acciones maliciosas como ser SPAM, campañas de Clicks, Denegación de servicio, etc. La detección de DGA , y su posterior bloqueo por parte de los administradores de sistemas, resulta ser fundamental a fin de evitar o al menos mitigar la propagación de las acciones maliciosas dentro de la red. Para la implementación del modelo de predicción se aplicaron diversas técnicas de aprendizaje automático en general y las redes neuronales profundas (deep learning) en particular. El algoritmo desarrollado para la CTU, fue luego incorporado al proveedor de servicio de nombres de dominios (DNS) Whalebone.(https://whalebone.io) como parte de su paquete de herramientas de ciberseguridad. Dado su contexto de utilización en tiempo real, es importante mencionar que uno de los requerimientos del proyecto era la necesidad de que el algoritmo de detección tuviera el menor tiempo de respuesta posible. Por esto último se tomaron como base para arquitecturas de redes neuronales lo más sencillas posibles, sin perder de vista el objetivo de tener una baja tasa de falsos positivos. En particular se implementaron arquitecturas basadas en redes neuronales recurrentes como las LSTM y otras basadas en redes convolucionales en una dimensión.