Master's Thesis

Detection of Malicious Domain Names using Mutual Relationships

Final Thesis 10.37 MB

Author of thesis: Ing. Jozef Michal Bukas

Acad. year: 2025/2026

Supervisor: Ing. Radek Hranický, Ph.D.

Reviewer: Ing. Martin Žádník, Ph.D.

Abstract:

The Domain Name System (DNS) is a cornerstone of the Internet. Users and applications use it daily to locate network resources. Unfortunately, attackers exploit DNS, with examples including phishing, botnet command and control, or malware distribution, where these attacks can be enormous in terms of financial and reputational costs. This Master’s thesis aims to design and implement a system for evaluating domain maliciousness using relations between domains stored in the domain relationship graph. It uses three relationship types: translates to IP, has CNAME, and is a subdomain of. Combination and use of neighbourhood statistics with the graph machine learning method Metapath2vec for domain evaluation in a way that allows for easy graph updates while remaining robust and precise, as demonstrated by experiments on a large dataset, enables the system to adapt to new threats constantly. System runs as a server application that exposes an API for submitting evaluation requests.

Keywords:

domain, domain security, malicious domain detection, machine learning, networks, graphs, domain relationships, adaptability

Date of defence

23.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných, např. ohledně vztahů v DNS a identifikace maligní domény či způsobu vytváření grafu domén. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B - velmi dobře.

Topics for thesis defence

  1. Jaké jsou nevýhody rozdělení grafů dle typu vztahu pro vytváření náhodných procházek?

Language of thesis

English

Faculty

Department

Study programme

Information Technology and Artificial Intelligence (MITAI)

Specialization

Computer Networks (NNET)

Composition of Committee

doc. Ing. Petr Matoušek, Ph.D., M.A. (předseda)
doc. Ing. Tomáš Martínek, Ph.D. (místopředseda)
Ing. Zbyněk Křivka, Ph.D. (člen)
Ing. Ivana Burgetová, Ph.D. (člen)
Ing. Matěj Grégr, Ph.D. (člen)
Ing. Šárka Květoňová, Ph.D. (člen)

Supervisor’s report
Ing. Radek Hranický, Ph.D.

Pan Bukas vypracoval technicky zajímavou a prakticky vysoce relevantní diplomovou práci zaměřenou na detekci maligních doménových jmen. Oceňuji zajímavý zvolený přístup na bázi grafového modelování vztahů a vyhledávání nad grafem, implementaci serverové aplikace a experimenty zohledňující jak přesnost klasifikace domén, tak výkonnost vytvořeného řešení. Práce zadání splňuje a vytváří tak použitelný proof-of-concept, který má potenciál jako podpůrný nástroj pro bezpečnostní analýzu.


Celkově práci hodnotím jako velmi dobrou (B).

Evaluation criteria Verbal classification
Informace k zadání

Práce tématicky navazuje na dříve projekt MV ČR FETA (FIT VUT) a souvisí s řešeným projektem MV ČR THOR (CESNET). Téma řeší problematiku detekce maligních doménových jmen na základě jejich vzájemných vztahů. Pan Bukas zvolil řešení založené na doménovém grafu vzájemných vztahů, který propojuje související domény, subdomény, CNAME a IP adresy. Zadání považuji za splněné v celém rozsahu.

Aktivita při dokončování

Student práci mi práci ke kontrole předložil ve smluveném termínu, obsah jsem kontroloval a mé připomínky student následně zapracoval.

Publikační činnost, ocenění

Zdrojové kódy své práce včetně návodu k použití a testů pan Bukas zveřejnil na portálu GitHub: https://github.com/alarm-clock/MaliciousDomainDetectionBasedOnMutualRelationships.

Práce s literaturou

Student využil doporučené literatury a další relevantní zdroje si samostatně dohledal.

Aktivita během řešení, konzultace, komunikace

Student byl během řešení aktivní, práci průběžně konzultoval, dohodnuté termíny plnil a na konzultace docházel připraven.

Points proposed by supervisor: 87

Grade proposed by supervisor: B

Reviewer’s report
Ing. Martin Žádník, Ph.D.

Práce prokazuje schopnost studenta efektivně řešit poměrně komplexní problém, proto hodnotím stupněm A.

Evaluation criteria Verbal classification Points
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Zadání bylo zcela splněno s využitím Metapath2vec modelu.

Rozsah technické zprávy

Evaluation level: je v obvyklém rozmezí

Rozsah technické zprávy odpovídá očekávanému rozsahu a velmi dobře popisuje práci studenta.

Prezentační úroveň technické zprávy

Práce má logickou strukturu s dobrou návazností kapitol a pochopením práce pro čtenáře.

90
Formální úprava technické zprávy

Formální úprava práce je na vysoké úrovni.

100
Práce s literaturou

Student vhodně využívá a správně cituje relevantní zdroje.

90
Realizační výstup

Realizační výstup byl validován na reálných datových sadách, jak z pohledu klasifikace tak i z pohledu výkonnosti.

90
Využitelnost výsledků

Výsledek je kompilačního charakteru, ale přináší nově možnost pracovat se vztahy v DNS datech.

Náročnost zadání

Evaluation level: průměrně obtížné zadání

Zadání odpovídá očekávané obtížnosti diplomové práce.

Topics for thesis defence:
  1. Jaké jsou nevýhody rozdělení grafů dle typu vztahu pro vytváření náhodných procházek?
Points proposed by reviewer: 90

Grade proposed by reviewer: A

Responsibility: Mgr. et Mgr. Hana Odstrčilová