2.1.5. Présentation du moteur Gdgadetect
2.1.5.1. Présentation de l'algorithme DGA
La GBox embarque un moteur capable de détecter des noms de domaines ayant été générés par des DGA (Domain Generation Algorithm).
La présence de noms de domaines générés par DGA sur un réseau est un fort indicateur de compromission.
En effet, les logiciels malveillants peuvent utiliser des requêtes HTTP vers des noms de domaine générés automatiquement, afin de contacter leurs serveurs de commande et de contrôle (aussi appelés CnC, C&C ou C2).
Ces noms de domaine ont des propriétés différentes des noms de domaines légitimes.
Les approches classiques de détection comme les listes noires ne sont pas pertinentes dans le cas de domaines renouvelés en permanence.
Les simples calculs d'entropie génèrent une grande quantité de faux positifs.
2.1.5.2. Analyse
Le Machine Learning est basé sur un modèle pré-entraîné, dont l'architecture est basée sur un réseau de neurones profond de type LSTM (Long Short Term Memory networks).
2.1.5.3. Affichage des alertes DGA
L'analyse se fait dans la page
`Quick analysis`.En fonction du résultat, une icône verte ou rouge indique si c'est un DGA ou non.
2.1.5.4. Visualisation de l'état de Gdgadetect
La visualisation de l'état courant du moteur est donnée dans l'Ecran `Analysers` de la Web UI.
2.1.5.5. Mise à jour de Gdgadetect
Le moteur ne reçoit pas de mise à jour.
2.1.5.6. Configuration de Gdgadetect
Le moteur n'est pas configurable.