Visueller Vergleich von Klassifizierungen von verschiedenen Machine-Learning-Modellen

Abstract

Über einen Command & Control-Channel kommunizieren Bots mit ihrem Botmaster, der ihnen über diesen Channel Befehle sendet. Um das Blockieren dieser Channels zu erschweren, werden Domain-Generation Algorithms (DGAs) verwendet. Diese Algorithmen erzeugen periodisch Domänennamen, über die ein neuer Channel aufgebaut wird, falls der Alte blockiert wurde. Zur automatisierten Erkennung und Klassifizierung solcher Domänennamen sind Machine-Learning-Modelle entwickelt worden. Die Verbesserung dieser Modelle erfordert den Vergleich ihrer Ergebnisse. Ein Hindernis hierbei ist die große Anzahl von Klassen bei den nicht binären ML-Modellen. Um den Vergleich zu vereinfachen, werden die Klassen anhand ihrer DGAs geclustert und die Ergebnisse durch Histogramme in Kombination mit Boxplots visualisiert. Das entwickelte Konzept ermöglicht die Analyse der Gesamt- und Klassenperformance sowie der Performance auf Intanzebene.