QC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG KHOA AN TOÀN THÔNG TIN ĐÈ TÀI NGHIÊN CỨU PHÁT HIỆN WORD-BASED DGA BOTNET DỰA TRÊN HỌC MÁY PHÙNG THỊ PHƯƠNG THẢO Hà Nội, tháng 1 năm 2024 OC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG KHOA AN TOÀN THÔNG TIN ĐÈ TÀI NGHIÊN CỨU PHÁT HIỆN WORD-BASED DGA BOTNET DỰA TRÊN HỌC MÁY Giảng viên hướng dẫn : PGS.TS Hoàng Xuân Dậu Sinh viên thực hiện : Phùng Thị Phương Thảo Mã sinh viên : B19DCAT183 : DI9CQAT03-B : 2019 - 2024 : ĐẠI HỌC CHÍNH QUY Hà Nội, thang 1 năm 2024 LỜI CẢM ƠN Trước hết, em muốn bày tỏ lòng biết ơn đến tất cả các thầy cô trong Khoa An toàn thông tin và toàn bộ đội ngũ cán bộ của Học viện Công nghệ Bưu chính Viễn thông vì đã tạo ra một môi trường học tập tích cực và có điều kiện cho sự phát triển của em Em chân thành cảm ơn sự quan tâm, hướng dẫn và chia sẻ kiến thức quý báu mà các thầy cô đã dành cho em trong suốt quãng thời gian học tập kéo dài hơn 4 năm Những kiến thức này không chỉ là nền tảng quan trọng cho đồ án của em mà còn là nền móng cho sự thành công trong công việc tương lai Em gửi lời biết ơn đối với thầy giáo PGS.TS Hoàng Xuân Dậu, đã nhận lời hỗ trợ em làm đồ án, đã giúp em vượt qua những khó khăn của việc thực hiện, và đã tin tưởng em dé hoàn thành đồ án này Trong thời gian học tập và làm việc VỚI thầy, em luôn nhận được sự giúp đỡ kip thời và những lời chỉ bảo tận tâm Mong rằng, thầy sẽ luôn mạnh khỏe và thành công hơn nữa Cuối cùng, em xin gửi lời cảm ơn tới bạn bè và gia đình đã hỗ trợ và động viên em trong quá trình hoàn thành đồ án này Vì kiến thức còn hạn chế, đồ án của em không tránh khỏi những thiếu sót, do đó em mong muốn nhận được sự góp ý bồ sung từ phía các thầy cô Em xin chân thành cảm on! Hà Nội, ngày 03 thang I năm 2024 Sinh viên thực hiện Phùng Thị Phương Thảo LỜI CAM ĐOAN Em xin cam đoan rằng đồ án tốt nghiệp "Nghiên cứu các kỹ thuật phát hiện word-based DGA botnet dựa trên học máy" là thành quả của sự nỗ lực và nghiên cứu cá nhân của em Mọi nguồn thông tin tham khảo được sử dụng trong đồ án đều được đưa ra chỉ tiết và minh bạch tại phần tài liệu tham khảo Các dữ liệu va kết quả được trình bày trong đồ án đều tuân theo nguyên tắc trung thực, không có bất kỳ hành vi sao chép hoặc đạo nhái nào Trong trường hợp xảy ra bat kỳ sai sót nao, em xin chịu trách nhiệm và chấp nhận mọi hình phạt hay kỷ luật mà bộ môn và nhà trường đưa ra Sinh viên thực hiện Phùng Thị Phương Thảo ii NHẬN XÉT, DANH GIA, CHO DIEM (Của người hướng dẫn) Điểm: (băng chữ: ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? ¬— , ngay thang nam 20 CAN BO - GIANG VIEN HUONG DAN (ky, ho tén) 1H NHẬN XÉT, DANH GIA, CHO DIEM (Của người phải biện) > (bằng chữ: ) Điêm: CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN (ký, họ tên) IV MỤC LỤC LỜI CẢM ƠN 5.221.2 2.2E.122.112 112 7121.121.111.211 1111.111.111.11 112c -yei LOI CAM DOAN escssssssessesssessecsssssecsusssessessussseesecsusssessessessesessissessessesseesen ii NHAN XÉT, DANH GIA, CHO DIEM cccscccsssssessesssessesesssseeessveeeveeeees iii NHẬN XÉT, DANH GIA, CHO DIEM ccccceccssecessesecseseesesesecececersvsvseseeees iv MỤC LUC ececsscsssessesssessessssssecssessscsussssssecsussssssussssssessusssessecsusssessusssecsesseeseeess v DANH MỤC BANG BIỀU 2S.t.+E.SE.EES.E+.EEE.EE.EES.EE.ESE.EE.SES.Er.ErE.rk.eer-er-ee vii DANH MỤC ANH VA HINH VE cescssscssesssessesssessessesssessessessessesessseessess viii DANH MỤC CAC THUẬT NGU VIET TẮTT -2-s©sz55+25++: x LỜI MỞ DAU wieeecsscsssessesssessesssessesssessessvsssessecsssssessecsuessessesssessessessssusaesassecees | CHƯƠNG 1: TONG QUAN VỀ BOTNET VÀ CÁC PHƯƠNG PHAP PHAT HIỆN .2- 222 2 2 E19 E192 112 2122 112 1127 121 1211 711 2111.111 1 21.111-211- 111- 1 1¿1-c 3 1.1 Khái quát về Botnet . .2 2+.se+.E2.E2E.12.112.11.211.21.121.71.211.212.1 1E- -xeE3 1.1.1 Giới thiệu về Botnet ¿ :-©2¿©2222xt2E2EEeExtEEEerxerkrrrrrkervee 3 1.1.2 Kiến trúc và hoạt động của Botnet 2 2.s.+s.s+.xs.+.zs-zx-ee-s4 1.2 Khái quát về DGA Botnet và Word-based DGA Botnet 7 1.2.1 Giới thiệu về DGA Botnet 2.-2 +5.2.2.+x.+£z.zE.ez.sz.rer-xe-re-es 7 1.2.2 Giới thiệu về Word-based DGA Botnet . 5-555c 10 1.3 Các phương pháp phát hiện Boftnet .5.5.+.+c.s.*+.+.+.ss.s-x+-s-+ 11 1.3.1 Phát hiện dựa trên chữ ky ee ceccescceeceeeeeneeeseneeeeseteeeesteeeens 11 1.3.2 Phát hiện dựa trên bat thường . - eesessesseseeseseeseeeees 12 1.3.3 Phát hiện dựa trên HoneypOt -. .- 5+.5.s.++.ss.+e.cs.se.es.ee.rs.ee 14 1.4 Kết chương 2-5.2 s+Sx.+ 2.E.2E1.211.21.121.121.12.111.111.11.111.111.1 11 -x-e 14 CHƯƠNG 2: PHÁT HIỆN WORD-BASED DGA BOTNET DỰA TRÊN HỌC MÁ Y G55 2< 21E21122121121127121121171121111211111111111121111c.c1.1 15 2.1 Khái quát về học máyy .¿+.2.t.+e.Ek#.EE+.E£E.EEE.EEE.EEE.EE.EEE.EEE.EEE.krk-err-ei 15 2.1.1 Giới thiệu về học máyy - 2.-52.ke.Sxe.EE2.EEE.SEE.EEE.EEE.krk.erk-rkr-ee 15 2.1.2 Quy trình làm vIỆC .-. -.G.1.1.3 1 11.9.v v.n k.e-y 15 2.1.3 Phân lOại -. -. -.E.2.2 16.111.123.111.11 111.111.955.335.5 1.1 1.11 k.h -e - 16 2.1.4 Một số thuật toán trong học máy, . ss++++ssvs+seeexes 18 2.2 Mô hình phát hiện Word-based DGA Botnet dựa trên học máy 31 2.2.1 Giới thiệu mô hin esssessesseessesseessessesstessestesteseeseesen 31 2.2.2 Các khâu xử lý - c .v rey 32 2.3 Kết chương -¿- ¿52+S2+E2EE2E12E12212112112112111111217111 111111 xe 39 CHƯƠNG 3: CÀI ĐẶT VA THU NGHIỆM 2 5.5.2-2-2-5-: 40 3.1 Giới thiệu tập dữ liệu sử dụng -.- ¿5.c 22.+ ++.sv.vv.xe.ee.er.es.ss 40 3.2 Tiền xử lý dit liệu ¿+.52.S.t E21.1 152.12.15.111.11.1 1.121.211.111.1 -te-.40 3.3 Quá trình huấn luyện và kiểm tra .2.-2 2 ©.s+.S2.+E+.£+.+E.e£.xzx.zx-cr-ez 44 3.3.1 Huấn luyện ¿.2 ¿55.c +.ES2.ES2.EE2.EE2E.211.211.211.211.211.211.11.11.11- -xe44 E84 na < 45 3.4 Thur nghigm 0n 46 3.4.1 Phương pháp đánh giá .-. .-.c Sc.S.21.3 Es.Es.rer.er.er.rsr.sr.ee 46 3.4.2 KẾT Quả - 5-5 St EEEEEE2122121121111211111211121E12111e11e48 3.5 Cài đặt và thử nghiệm môđun phát hiện Word-base DGA botnet dựa 0908:1090: 210777 ::1 49 3.5.1 Triển khảai 2.-5:.©52.22x.‡EE2.EE2.EE21.122.1271.121.127.1211.211.21-12¿12-149 3.5.2 Phát hiện 2-52-5221 E21 221271211211212111111111211121x.e 50 3.6 Kết chương + se 2E2.E12.112.112.1121.121.121.121.711.111.111-11-1-1 -ce.51 KET LUAN ucccccccsccscsecsesesecsesecsvsecsesucevscecsesecevsucarsusarsesesevsucavssesacavevavaveeees 52 DANH MỤC TAI LIEU THAM KHAO .ccsscsssessesssesseessesesessesseeseeseesens 53 vi DANH MỤC BANG BIEU Bảng 1 1: Một số dang DGA botnet và các mẫu tên miễn -.5 : 10 Bang 1 2: Cac ho botnet sử dụng word-based DGA -++++-