恶意域名检测研究与应用综述

已于 2024-07-02 20:48:36 修改
阅读量971 收藏 9
点赞数 25
分类专栏: 组会报告 文章标签: 恶意流量 域名生成
于 2024-07-02 12:06:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k__opp/article/details/140106702
版权

域名攻击发展

在这里插入图片描述
使用 DGA 的优势在于模糊了控制服务器的节点位置,该方法的灵活性还让网络安全管理员无法阻止所有可能的域名,并且注册一些域名对攻击者来说成本很低。利用 DGA 域名实施的攻击是网络安全中重要的攻击形式。因此,捕获由恶意软件生成的域名已成为信息安全的核心主题。

域名生成算法

在这里插入图片描述
Conficker:使用Windows 操作系统软件中的缺陷和对管理员密码的字典攻击在形成僵尸网络时传播
CryptoLocker:它使用 DGA 从英文字母表 a ~ y 中随机选取生成字符串长度为 12 至 15 的二级域名,每周大约生成1000个域名。
Ramnit:DGA 使用随机数生成器首先通过均匀地选择 8 到 19 个字符之间的长度来确定第二级域的长度。接下来,DGA 通过从“a”到“x”统一选取字母来确定第二级域
symmi:通过当前的日期和编码常量,利用随机数生成器生成种子。它包含三级域名,在第三级域中,除字母“j”之外,从元音和辅音中随机交替的挑选字母,因此随后的字母总是来自其他字符类这样选取的字符组成的域名几乎是可读的。
Suppobox:利用英文单词列表,从英文单词列表中随机选择两个单词连接在一起生成恶意域名

DGA 域名检测的研究

基于特征提取的机器学习方法的检测

域名字符统计特征的检测

  1. 使用域名的bigram特征:Davuth等人通过分析域名的bigram(二元组)特征,利用人工设定的阈值过滤掉出现频率较低的bigram,然后使用支持向量机(SVM)分类器来检测随机域名。

  2. 分析IP地址的域名特征分布:Yadav等人通过观察同一组IP地址下所有域名的unigram(一元组)和bigram特征分布,寻找算法生成域名的固有模式,以此来检测DNS流量中的域名。

  3. 利用域名长度特征:Mowbray等人通过分析域名查询服务中不寻常的字符串长度分布来检测恶意域名。

  4. 基于随机森林的随机域名检测方法:王红凯等人提出了一种基于随机森林的随机域名检测方法,该方法通过人工提取的域名长度、域名字符信息熵分布、元音辅音比、有意义的字符比率等特征来构建随机森林模型进行训练和分类,实现对随机域名的检测。

  5. 使用域名的K-L距离、编辑距离、Jaccard系数作为特征向量:Agyepong等人利用算法生成域名与正常域名在字符分布上的差异,使用K-L距离、编辑距离、Jaccard系数作为特征向量来识别恶意域名。

  6. 使用分词算法扩展特征集:通过使用分词算法将域名分割成单个词,以此来扩展特征集的大小,提高检测恶意域名的能力。

DNS 流量信息的检测

  1. fast-flux僵尸网络检测提出了一种基于fast-flux僵尸网络特征的检测方法,包括委托代理模式、恶意活动的执行者和硬件性能,用于实时检测Web服务是否被fast-flux僵尸网络托管。

  2. Exposure系统:Bilge等人介绍了Exposure系统,它使用DNS分析技术来检测涉及恶意活动的域名,通过提取15个特征来描述DNS名称的不同属性及其查询方式。

  3. Pleiades系统:Antonakakis等人设计了Pleiades系统,专注于检测DGA(域名生成算法)生成的域名。该系统利用DGA域名解析为C&C服务器地址较少的特点,通过统计学习技术构建模型,无需劳动密集型恶意软件逆向工程即可发现和建模新的DGA。

  4. NXDOMAIN响应分析:通过分析NXDOMAIN响应来检测DGA域名,这种方法不需要大规模部署DNS分析工具,但面临大规模真实DNS数据日志少、恶意域特征弹性和缺乏具体评估方案等挑战。

  5. 恶意域名检测技术的一般框架:对近年来使用DNS数据的恶意域名检测技术的一般框架进行了分类,并提出了一些挑战,如特征弹性和缺乏评估方案。

  6. 实时检测方法:为了满足实时检测的要求,许多方法使用手工挑选的特征,如熵、字符串长度、元音比、辅音比等。机器学习模型,如随机森林分类器,也被用于提高检测率,但存在误报率较高和整体检测率低的问题。

  7. 僵尸网络检测的挑战:随着僵尸网络变得更加复杂和智能化,现有的检测方法面临挑战,包括网络流的部分特征无法完全表征僵尸网络的异常行为,以及攻击者可能设计新的DGA算法来绕过某些固定特征。
    虽然在DNS流量分析领域取得了一定的进展,但恶意域名检测仍然面临实时性、准确性和对抗性等挑战。随着僵尸网络的不断进化,检测技术也需要不断更新以应对这些挑战。

基于无特征提取的深度学习方法的检测

RNN 在域名检测的应用

这段话主要讨论了循环神经网络(RNN)及其变体在域名检测领域的应用,以及它们在处理特定问题时的优势和挑战:

  1. 循环神经网络(RNN)的应用:RNN因其能够捕捉序列之间的时间关系,被用于自然语言处理任务。初期,RNN和递归神经网络被用来检测伪域名。

  2. 梯度消失问题:RNN在处理长序列时容易出现梯度消失问题,这限制了其学习长期依赖信息的能力。

  3. LSTM的优势:LSTM通过增加状态信息解决了梯度消失问题,使其能够学习长期依赖信息,特别擅长文本和语音处理,因此在域名检测中得到了广泛应用。

  4. LSTM在DGA检测中的应用:Woodbridge等人利用LSTM实现对DGA的实时预测,无需上下文信息或手动创建的特征。模型框架包括嵌入层、LSTM层和逻辑回归分类器。

在这里插入图片描述
5. 深度学习方法的比较:Yu等人比较了基于特征的传统机器学习方法(如随机森林)和深度学习方法(如LSTM和CNN)。结果显示,CNN和LSTM在整体检测率上优于随机森林,但在个别DGA上表现不佳。检测率低或识别误差大的原因可能是数据不平衡和传统DGA与基于字典的DGA之间的样本分布偏差。Tran等人提出了改进的成本敏感的LSTM算法来解决DGA域名数据多类不平衡的问题,提高了准确率。
6. 神经网络模型的比较:Vinayakumar等人比较了RNN、I-RNN、LSTM、CNN和CNN-LSTM等神经网络模型。结果显示,递归神经网络系列和混合网络(如CNN-LSTM)在检测率上表现优越。
7. 深度学习方法的优势:深度学习方法具有捕获层次特征提取和序列输入中的长期依赖性的机制,这使得它们在DGA域名检测中表现出色。基于RNN的检测模型在高随机性DGA域名检测中准确率高,但在低随机性和基于字典的DGA域名识别率低,导致误报。因此,未来的主要发展方向是提高对低随机性和基于字典的DGA域名的识别能力。

GAN在域名检测的应用

  1. 生成对抗网络(GAN)的基本概念:GAN是一种深度学习模型,它基于博弈论中的纳什均衡思想,通过生成器和鉴别器的相互学习来生成模拟数据。

  2. GAN在DGA域名生成中的应用:Anderson等人利用GAN的思想,构建了一种基于深度学习的DGA域名生成对抗样本方法。生成器学习生成越来越难以检测的域名,而检测器则通过更新参数提高检测能力。提出的GAN模型基于预先训练的自动编码器(编码器+解码器),自动编码器在Alexa的一百万个域名上进行训练,以生成更像真实域名的样本。然后,在GAN中重新组装编码器和解码器进行对抗训练。

在这里插入图片描述

  1. 对抗样本的验证:使用随机森林DGA分类器来验证生成的对抗样本的表现力,对抗样本表现良好,但实验对比较少,只验证了在随机森林模型上的检测效果。还有的采用了GAN的思想来生成恶意域名对抗样本,但编码器部分的设计有所不同,采用了基于Ascall编码方式的编解码器。

  2. GAN的问题GAN在处理离散数据(如序列数据)上存在问题,如生成器难以传递梯度更新,鉴别器难以评估完整的序列。因此由于域名数据的序列性,利用 GAN 生成域名数据应用上的研究较少。

  3. GAN在僵尸网络检测中的应用提出了一种基于GAN的僵尸网络检测增强框架,通过生成器连续生成“假”样本,扩展标记数量,以帮助原始模型进行僵尸网络检测和分类。

基于附加条件的深度学习方法的检测

  1. 深度学习检测方法的局限性:单纯的深度学习检测方法在应对越来越智能的DGA域名时表现不佳。

  2. 改进的LSTM模型:为了提高检测率,提出了结合注意机制的LSTM模型。该模型通过关注域名中更重要的子串来改善表达,尤其在检测长域名时表现出色,二元分类中的误报率和假负率分别降至1.29%和0.76%。

  3. 多字符随机性提取方法:提出了一种基于注意力机制的深度学习模型,并引入了一种多字符随机性提取方法,提高了识别低随机性DGA域名的有效性。

  4. 域名随机性的估计方法通过词法分析和Web搜索来估计域名的随机性。但这种方法在处理短域名时存在局限性,可能会误判不包含在字典中的域名。

  5. smash分数和新模型:提出了smash分数来评估DGA域名与英文单词的相似度,并设计了一种结合递归神经网络架构和域注册信息的新模型。该模型在检测某些看起来像自然域名的DGA家族时效果良好,但在检测那些看起来不像自然域名的DGA系列时表现不佳。

新的方向

这段话主要讨论了DGA(域名生成算法)域名变体的研究、恶意域名对抗样本的生成方法以及恶意域名检测模型的设计:

  1. DGA域名变体的研究:DGA域名变体通常利用英语单词列表随机生成,以躲避基于字符特征的模型检测。尽管这些伪域名在马尔可夫模型或n-gram分布上与正常域名相似,但它们的长度和由几个无关单词拼凑的特点可以作为检测依据。通过观察这些域名可以看出域名的长度与正常域名相差较大,以及这些域名都是由几个毫无关联的单词拼凑而成,因此可以针对这两个角度对这类域名检测。

  2. 恶意域名对抗样本的生成方法

    • 一类生成方法是通过逆向工程破解DGA算法,但这种方法生成的域名具有固定模式,难以预测新的DGA变体。
    • 另一类方法是使用生成对抗网络(GAN)生成对抗样本。文献[21]证明了GAN生成的对抗样本在模拟恶意域名数据和预测未知DGA家族方面有良好表现。然而,GAN在处理离散序列数据上存在挑战。
    • 文献[50]提出的SeqGAN旨在解决GAN在离散数据处理上的问题,并在语言文本上表现不错。SeqGAN生成的域名对抗样本有望提高质量。

  3. 恶意域名检测模型的设计

    • 设计一个高效的检测模型是一个难点,因为伪域名越来越智能化,能够逃避一般神经网络模型的检测。
    • 未来的发展方向包括设计既可以独立使用,也可以作为更大DGA检测系统一部分的模型,以及能够包含网络流量并应用于实时网络安全系统的模型。

[1]王媛媛,吴春江,刘启和,等.恶意域名检测研究与应用综述[J].计算机应用与软件,2019,36(09):310-316.

k__opp
关注
专栏目录
域名检测】使用CNN实现DGA恶意域名检测(TensorFlow)【代码】
vector的博客
03-03 2379
本篇博客是博主第一个恶意域名检测实验的记录,使用CNN进行纯本文的域名分类。由于算力限制,仅使用2万条训练数据和2千条测试数据,最终accuracy为70%+
基于深度学习的恶意域名检测与防御系统研究 毕业论文+任务书+参考文献+论文检测查重报告+源码及数据
xiaoa全栈开发的博客
07-16 701
本文综述DGA域名生成算法)域名在网络安全领域的挑战及其传统检测方法,指出了这些方法在实时性、准确率和效率方面的不足。随着网络攻击手段的不断进化,DGA域名已成为攻击者逃避安全检测的重要手段。因此,开发高效、实时的DGA域名检测方法至关重要。 近年来,深度学习在自然语言处理领域取得了显著进展,为DGA域名检测提供了新的解决方案。本文详细介绍了利用LSTM模型和Attention机制进行DGA域名检测的方法。通过将域名字符串转换为词向量,LSTM模型能够捕获序列中的长期依赖关系,而Attention机制
毕业设计-基于深度学习和相似度的恶意域名检测方法
Hai_Lang_IT的博客
03-30 674
毕业设计-基于深度学习和相似度的恶意域名检测方法:互联网的出现为人们的生活提供了极大的便利,各种文本信息、流媒体资源和文 件都可以通过互联网进行传播,这些传播于网络上的信息均可视为数据。在这些数据 中,有一部分是黑客进行恶意活动所使用的恶意数据。恶意流量恶意软件与恶意数 据关系密切,恶意软件是指黑客在目标主机中植入的软件。通过对恶意软件下达指令, 可以达到控制目标主机的目的,这种被植入了恶意软件的主机被称为僵尸主机,数量 庞大的僵尸主机则可组成僵尸网络。黑客与僵尸主机通信的流量数据为恶意流量数据。 通过检
深入了解域名生成算法(DGA):原理、应用及防御措施
最新发布
weixin_42128963的博客
08-08 402
域名生成算法(DGA, Domain Generation Algorithm)是一种用于生成大量域名的算法,通常用于恶意软件和网络攻击中。它们的主要目的是通过生成看似合法的域名来逃避检测和阻止。例如,恶意软件可以使用DGA定期生成新的域名,以避免被网络安全系统发现并封锁。DGA的工作原理:生成域名DGA通过算法生成大量...
基于Python深度学习的DGA域名检测
毕业作品网站
07-04 2975
如今,互联网上的很多恶意攻击行为开始借助由域名生成算法生成域名来抵抗安防软件的检测。这些域名生成算法通常会借助一组随机种子,持续不断的生成大量随机域名。使用这些 DGA 域名进行攻击的流程如图 1.1 所示。图 1.1 DGA 类攻击流程如图 1.1 ,当某台主机或者服务器被恶意行为攻击成功之后,攻击者就会在被攻击者内部嵌入一段恶意代码。这段恶意代码会使用某种域名生成算法不断的生成 DGA 域名,并且利用被攻击者的主机去访问这些域名
基于域名恶意网站检测
siri的世界
02-11 1万+
基于域名恶意网站检测0x00. 数据来源0x01. 基于网页内容的判别方法0x02. 基于域名数据的判别方法0x03. 参考文献 0x00. 数据来源 根据老师给的 300w 域名列表爬到的相应 DNS 响应数据。 0x01. 基于网页内容的判别方法 数据获取 考虑到爬取执行的时间,首先对300w个域名进行数据清洗。 去掉重复的请求以及一些不指向具体网页的域名, 这类域名在请求中频繁出现, ...
DGA恶意域名检测
qq_47691513的博客
06-24 807
DGA域名检测方法
基于DNS数据分析的恶意域名检测
四个菜
10-22 2万+
导读:本文对基于DNS数据分析来进行恶意域名检测研究进行简要的介绍。本文的目的,是让刚进入该领域的学者(或是一般的读者)能对该领域的情况有一个初步的了解,为之后的深入探究做准备。 本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测研究背景,研究过程和研究建议等内容的...
机器学习初实践——恶意域名检测
weixin_44036446的博客
10-14 3362
这次恶意域名检测实践是第一次自己做机器学习而非单纯复现,参考了第一次鸢尾花的代码和GitHub的UrlDetect中的特征提取参数的代码。 一、数据处理 首先要实现自动化处理数据,在这里我没有使用urlparser而是直接写脚本提取域名、提取特征、打标签。由于一开始钓鱼网站和顶级域名就是分别存储在不同的csv中,所以直接对恶意域名标1,正常域名标0。 为了使处理过程更加直观,我分了两步来处理数据,第一步是提取域名+打标签,第二步才是提取特征,最后将两种域名合并到一个文件作为训练数据(放在一起的话后面在训练模
【定位恶意域名请求】
weixin_46356409的博客
01-10 1952
在DNS服务器没有开启日志存储的情况下,要确定哪台机器请求恶意域名会比较困难。但是,你可以尝试以下几种方法:网络嗅探工具:使用网络嗅探工具(如Wireshark)来捕获网络流量。通过分析捕获的数据包,可以找到发出恶意域名请求的IP地址。请确保在合适的网络位置部署嗅探工具,以便捕获到所有DNS请求。防火墙日志:检查防火墙日志,看是否有记录到DNS请求(通常是目标端口为53的UDP或TCP请求)。通过分析防火墙日志,可以找到发出恶意域名请求的IP地址。
1_恶意域名检测研究应用综述_王媛媛1
08-03
传统的机器学习检测方法在应对这类威胁时逐渐显得力不从心,因此,深度学习技术开始被广泛应用恶意域名检测。深度学习的优势在于,它能够自动学习并识别恶意域名的特征,从而提高检测的准确率。神经网络在这一过程...
基于深度学习的恶意域名检测与防御系统研究(任务书)
毕业作品网站
07-21 886
(2)掌握域名原理等,了解恶意域名的特征,包括域名长度、字符组合、域名结构等实现恶意域名特征提取,可以使用常规的字符串处理和特征工程方法来提取这些特征。[9] 杨路辉,白惠文,刘光杰,等. 基于可分离卷积的轻量级恶意域名检测模型[J]. 网络与信息安全学报, 2020,6(6): 112-120.[7] 王志强,李舒豪,池亚平,等. 基于深度学习的恶意DGA域名检测[J]. 计算机工程与设计, 2021,42(3): 601-606.(1)域名的特征向量表示、用于恶意域名检测的深度学习模型训练等过程。
深度学习在DGA域名检测中的应用研究
论文部分将帮助学习者理解深度学习在DGA域名检测中的应用,并提供了一个可复现的研究成果,对学术研究和实际应用均具有一定的指导价值。 项目实施中可能采用的深度学习模型和技术包括但不限于卷积神经网络(CNN)、...
智能DGA域名检测:现状、挑战与深度学习的应用
恶意域名检测研究应用综述 随着互联网技术的飞速发展,网络安全问题已成为全球关注的焦点。其中,以域名为基础的攻击手段,如勒索软件、垃圾邮件和分布式拒绝服务(DDoS)攻击,对网络安全构成了严重威胁。传统的...
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
毕业设计-基于DGA 恶意域名检测算法
Hai_Lang_IT的博客
03-17 1072
毕业设计-基于DGA 恶意域名检测算法:域名解析系统已经发展成为了国际互联网中一个完全不可能被忽视且重要的一个关键的基础网络设施和信息服务 , 难以避 免被域名利用者非法利用。在深入地分析研究了网络僵尸病毒网络与 DGA恶意域名应用之后 , 对当前网络市场上各种主流恶意 域名安全检测解决技术特点进行了分析比较 , 并初步提出了一种基于字符特征来改善网络恶意域名检测技术的理论框架。域名解析系统 (DomainNameSystem,dns) 作为目前互联网 最重要的信息技术和核心信息基础服务设施之一 ,
【论文分享】异质图恶意域名检测方法:HGDom: Heterogeneous Graph Convolutional Networks for Malicious Domain Detection
vector的博客
04-24 1381
本文设计了一种基于异构图卷积网络方法的HGDom。首先,分析了域的特征以及域、客户端和IP地址之间的复杂关系,引入了一个异构信息网络(HIN)来建模DNS场景。然后,提出了一种新的表示方法MAGCN。它采用基于元路径的注意机制,可以同时处理HIN中的节点特征和图结构。
【论文分享】用于恶意域名检测的异质图注意力网络:HANDOM: Heterogeneous Attention Network Model for Malicious Domain Detection
vector的博客
11-20 255
在进行恶意活动时,攻击者所操纵的恶意域之间通常存在较强的时间相关性,也存在基于时间的类似异常行为,如恶意主机访问具有一定规律性和周期性的域,查询时间模式固定。不同主机基于时间访问域形成的数量分布序列t1,从中提取t1 (F1-b)的离散指标,如均值、方差、峰值等,反映访问域的主机数量随时间的变化趋势。我们发现,基于攻击者在网络杀伤链中的行为,攻击者的控制主机和被感染主机组在进行恶意活动时通常具有空间相关性,例如攻击者在攻击的不同阶段使用重叠的被感染主机组来实现恶意行为,导致域查询记录之间存在异常相关性。
毕业设计-基于LSTM和CNN的恶意域名检测系统
Hai_Lang_IT的博客
03-20 1288
毕业设计-基于LSTM和CNN的恶意域名检测系统:域名系统(Domain Name System,DNS)是互联网中重 要的核心服务之一,主要的任务是将易与人类记忆的域名翻 译为易于机器识别的IP地址。作为早期互联网协议,DNS 从设计之初就建立在互信模型的基础上,成为了一个完全开 放的协作体系,优点是高度透明与开放使操作变得简单而快 捷,然而缺点也同样突出,其存在的许多缺陷使它成为了僵 尸网络、钓鱼网站等恶意网络行为中重要的一环。然而伴随 着域名系统提供正常服务的同时,越来越多的网络非法活动 也开始滥用域
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值