System and method for botnet detection and DDoS prevention

Project Leader: Assoc. Prof. Nguyen Linh Giang

Date: January 2016 – December 2017

Botnet is a group of malware infected machines or bots. Botnet has become the main mean for cyber-criminals to send spam email, steal personal data, and launch distributed denial of service (DDoS) attacks. Most bots today rely on Domain Generation Algorithm (DGA) to generate a list of candidate domain names in order to establish the connection with the Command and Control (C&C) server. This algorithm is known as domain fluxing, where domain list is changed over time to avoid the limitations that allow researchers to shut down botnets. Uncovering DGA is critical security community.

In this research project, we work on developing deep learning-based algorithm to detect algorithmically generated domains (AGDs). We also investigate the different types, attack and defense techniques to preventing DDoS attacks.

Publications

• Tong và L.G. Nguyen, “A method for detecting DGA botnet based on semantic and cluster analysis,” Proceedings of the Seventh Symposium on Information and Communication Technology (SoICT), Hochiminh city, 12, 2016.
• Tống Văn Vạn, Nguyễn Linh Giang và Trần Quang Đức, Phân loại tên miền sử dụng các đặc trưng ngữ nghĩa trong hệ thống phát hiện DGA Botnet, Tạp chí Công nghệ thông tin và Truyền thông, Kỳ 2, Tháng 11/2016 (ISSN 1859-3550).
• Mac, D. Tran, V. Tong, L.G. Nguyen, and H.A. Tran, “DGA Botnet Detection Using Supervised Learning Methods,” Proceedings of the Eighth Symposium on Information and Communication Technology (SoICT), Nha Trang, December 2017.
• T. Tran, and K.V. Nguyen, “FDDA: A Framework for Fast Detecting Source Attack in Web Application DDoS Attack,” Proceedings of the Eighth Symposium on Information and Communication Technology (SoICT), Nha Trang, December 2017.
• Mạc Đình Hiếu, Bùi Trọng Tùng, Trần Quang Đức, Nguyễn Linh Giang, Phương pháp phát hiện DGA Botnet dựa trên CNN và Bidirectional LSTM, Tạp chí Thông tin và Truyền thông, 551 (741).
• Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn, Mô hình và phương pháp phát hiện và giảm thiểu tấn công DDoS dạng TCP SYN Flood giả mạo IP nguồn, Tạp chí Khoa học và Công nghệ – Số 114 (09/2016), trang 36-41.