DGA - 研究内容整理

最新推荐文章于 2023-03-31 14:13:11 发布
置顶 最新推荐文章于 2023-03-31 14:13:11 发布
阅读量1.7k 收藏 4
点赞数 3
分类专栏: 安全研究 - 恶意软件 安全研究 - 僵尸网络 文章标签: DGA python 恶意软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011698800/article/details/107895240
版权

20200809 -

引言

DGA算法是一种生成域名的算法:以时间或者一些特定字符串作为种子,然后利用一定的算法(例如加密算法),来生成随机域名的方式。
恶意软件的制作者通过这种方式来迷惑安全工作者,传统的恶意软件利用硬编码的方式将CC域名保存在程序中,安全工作者可以对这部分域名进行封堵实现截断通信的过程。在DGA算法的帮助下,恶意程序会发出大量DNS请求(包含DGA生成的域名),而制作者利用同样的算法和同样的种子生成同样的列表,从中挑选任意个在DNS厂商进行注册,以此躲避封堵。

而针对DGA的研究,可以有以下几点:正常域名与DGA域名的分类,DGA域名的家族分类等。本篇文章将记录一些研究DGA的文章或者思路,还有自己的实验;为其他研究者提供一些思路,同时给自己做备忘。

文章及数据资源

  1. 样本数据(DGA域名、正常域名)
  2. Domain提取的第三方库
  3. 不错的文章

1. 样本数据(DGA域名、正常域名)

DGA域名获取的资源有很多,这里仅记录360 netlab的地址。

正常域名可以从AWS上获取。

上述资源应该是随着时间更新的,如果有时候分析效果不一样,可能是因为时间不一致。
同时github上一位研究者收集了很多DGA家族生成算法的脚本,可以自己利用种子以及时间来生成大量样本[2]。

2. Domain提取的第三方库

关于域名的结构,专门的讲解,后续补充上。之前提取顶级域名,或者提取域名的时候都是自己用Python的split(’.’)分解。但是这种方法其实是很弱,无法应对复杂的情况。后来找到了一个库tldextract;这个库[1]可以帮助提取这部分信息。

>>> import tldextract
>>> tldextract.extract('http://forums.news.cnn.com/')
ExtractResult(subdomain='forums.news', domain='cnn', suffix='com')
>>> tldextract.extract('http://forums.bbc.co.uk/') # United Kingdom
ExtractResult(subdomain='forums', domain='bbc', suffix='co.uk')
>>> tldextract.extract('http://www.worldbank.org.kg/') # Kyrgyzstan
ExtractResult(subdomain='www', domain='worldbank', suffix='org.kg')
>>> ext = tldextract.extract('http://forums.bbc.co.uk')
>>> (ext.subdomain, ext.domain, ext.suffix)
('forums', 'bbc', 'co.uk')

以上代码是从他pypi的网站上复制过来。按照他的提取结果,分为三个部分子域名,域名,后缀
后续研究也将按照这种方式来分析,就不按照什么三级域名、二级域名来说明了。

3. 不错的文章

3.1 Getting Started with DGA Domain Detection Research

该篇文章算是一个入门的文章,介绍了很多基础的内容;本篇博客前面的内容很多就是抽取了这部分信息。

3.2 使用生成对抗网络(GAN)生成DGA

这篇文章通过训练GAN来生成正常的域名,我之前的时候是思考能不能生成DGA域名,但是仔细想了想,还是这篇文章的意思对。如果是生成DGA域名,本身这种域名就具备一定的随机性,那么你生活生成的域名还是带有一定的随机性,这个没办法判断。特别是,如果模型学习的时候也学习了一种随机性,那么这个肯定能骗过GAN的判别器
那么是不是说明,假设你完全用随机的字符串来生成域名,也算是DGA呢?
不过,我反过来想象,虽然他生成域名的时候是具备一定随机性的,但是实际上,根据你的种子,他每次生成的是时候,都是决定性的序列。所以,你想学习的是这种序列模式,如果从这个角度来思考就能理解了。

参考文章

[1]tldextract
[2]baderj/domain_generation_algorithms

V丶Chao
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【域名检测】使用CNN实现DGA恶意域名检测(TensorFlow)【代码】
vector的博客
03-03 2264
本篇博客是博主第一个恶意域名检测实验的记录,使用CNN进行纯本文的域名分类。由于算力限制,仅使用2万条训练数据和2千条测试数据,最终accuracy为70%+
13W包含各大病毒家族的DGA 域名清单
08-31
13W的DGA域名样本可以用来训练一些DGA的检测算法,包含了各大病毒样本
python数据库开发 dga_DGA detection based on Deep Learning (CNN and GRU) (基于深度学习的DGA检测)...
weixin_39769703的博客
12-06 153
DGA-detectionDGA detection based on Deep Learning (CNN and GRU) (基于深度学习的DGA检测)This project implements the DGA detection algorithm based on CNN and GRU to replace the traditional manual feature machine...
DGA系列之RNN(二)
吃肉唐僧的博客
01-11 252
继上一篇DGA检测代码涉及到的RNN,我们来挖一挖RNN(循环神经网络) 发展史 在了解这个算法之前,先了解它为何出现。说下个人理解,神经网络是基于感知机的扩展,而DNN可以理解为有很多隐藏层的神经网络。多层神经网络和深度神经网络DNN其实也是指的一个东西,DNN存在一些局限性,例如参数数量膨胀,局部最优,梯度消失和无法对时间序列上的变化进行建模。而RNN就是为了解决无法对时间序列上的变化进行建模...
调研-笔记-基于生成对抗网络的恶意域名训练数据生成
塞北战斗民族的博客
06-12 2273
DGA 域名字符生成模型域名字符分析 问题:理论上 GAN 中的生成器和判别器部分采用任意可微函数都能表示,因此其主要用于连续数据的处理,如图像生成、视频检测等[13]。基于文本的离散数据处理一直是深度神经网络研究的难点之一。本文基于字符串的文本域名来构建生成网络, 在构造训练 GAN 之前,需要对域名数据样本做变换处理。 域名在构造上可分为两部分:主机名和域名(包括顶级域 及可能的二级域、三级域...
DGA生成与检测 - 论文《DeepDGA: Adversarially-Tuned Domain Generation and Detection》阅读
围城
08-27 1602
20200827 0. 引言 DGA检测在网络安全中非常重要,通过检测DGA能够及时发现恶意软件;本博客中针对DGA检测的内容进行了简单的整理,见《DGA - 研究内容整理》。本身对GAN应用于安全领域有着极大的兴趣,所以本篇文章对使用GAN进行DGA域名的论文《DeepDGA: Adversarially-Tuned Domain Generation and Detection》进行记录。 1. 论文简单概要 本篇论文发表于2016年,内容并不算多,总计10页PDF,但是个人觉得,有些地方读起来比较晦涩
DGA域名检测的数据分析与深度学习分类
阿道夫的博客
03-31 956
本文围绕DGA域名的检测开展了一系列的工作,包括以下几点:1)对正常域名和DGA域名进行了数据分析,大致展示了一些数学意义上的分布,例如长度、字符。通过该部分内容可以对DGA域名和正常域名的区别有简单的了解;但这部分也有一些欠缺,还有很多工作可以分析,例如DGA域名使用的后缀,域名的熵值分析等。2)利用自然语言处理的方式将域名转化为向量,并使用降维算法进行降维后在二维空间进行可视化。但这部分的效果不是很好,很多类别都散列在一起,只有极少数的家族能够形成簇,这一点比较失败。
DGA数据集和算法研究
ailx10
05-12 867
针对DGA研究现在已经很多了,cnki 里面有116篇论文,涉及到dga黑样本,域名白名单,dga算法分析等,在数据集和dga原理的基础上,提出创新检测方案。因此,抽取共性,综合各家dga之所长,屏蔽之所短,不失是研究dga的一种好的方法。总的来说,做研究的本质,就是多读论文,论文看多了,思路自然就有了。DGArchive数据集[1],千万级数据源,需要使用学校或企业邮箱申请访问账号,作者人很好...
机器学习——特征预处理
yangnanjie的博客
11-11 420
本文主要讲了特征预处理中要使用到的,归一化、标准化以及PCA降维的操作以及在Python中的使用。
DGA域名介绍
热门推荐
墨痕诉清风的博客
01-28 1万+
一、引言 恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存在误报过多的现象。由于传统DNS使用明文进行数据传输,造成严重的用户
XC-DGA-主
03-02
不再维护Sitecore的栖息地 此“原始” Sitecore生境不再得到更新或维护,被取代。 对于新示例中尚未反映的Helix方面,它仍然是有价值的参考,但是不会再有新的人居环境版本。 您可以随意分叉该存储库以进行进一步的...
DGA-master_变压器故障_DGA变压器_matlabsimulink_dga_DGAmaster_
09-30
一种用于实现变压器等故障分类的matlab代码
使用Bigram频率分析的DGA域检测_DGA_Bigram_频率_python_dga-domains
06-01
使用高级阻止规避技术创建的恶意软件越来越多。最流行的技术之一是使用域生成算法,它定期生成一组域来联系 C&...DGA-Detection 脚本也在 raspberrypi 上运行并读取请求。然后处理这些请求以确定它们是否是潜在的 DGA
libXxf86dga-devel-1.1.5-1.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
DGA- An Efficient Genetic Algorithm DGA:一种高效的遗传算法.doc
最新发布
04-03
DGA- An Efficient Genetic Algorithm DGA:一种高效的遗传算法.doc
数据集:恶意软件
围城
07-10 4248
https://github.com/ocatak/malware_api_class https://github.com/shramos/Awesome-Cybersecurity-Datasets#malware https://github.com/traceflight/Android-Malware-Datasets https://github.com/endgameinc/embe...
实践:SSDEEP相似度比较
围城
07-10 1321
2020/06/03 - 其实一开始的时候,我是想看看,他们都是使用什么特征来进行比较。。。 今天下午就想找一些相关的相似度比较的文章,看看有没有相关的实践,然后发现谷歌出来的大量结果都是论文,我是想找一些实际的代码。 不过,通过调整关键词到medium上,发现了有人使用了ssdeep来进行比较。 首先是工具的安装,然后通过自己编写的几个c源码,编译之后进行比较。 他的结果说明,能够有相似度出来...
总结:二进制安全阅读论文总结
围城
06-09 1325
2020/06/09 - 引言 关于本部分二进制安全相关的东西,一开始我没有准备看论文,主要是想找一些相关的工具来实现自己的目的。起初,我是希望寻找一个工具能够对比二进制文件的相似度,通过搜索之后,定位到了ssdeep这个工具,对这个工具进行了实践,能够得到一些相应的结果。但在这个过程中发现了一个博客复现了大致是17/18年左右一篇顶会(代码相似度)的论文(后面具体介绍),在阅读了这篇论文之后,萌...
什么是dga域名检测
08-08
DGA(Domain Generation Algorithm,域名生成算法)是一种用于恶意软件通信的域名生成技术。恶意程序利用DGA生成大量域名,然后与其控制服务端进行通信,以避免被安全防御机制检测和封锁。 DGA域名检测是指对使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值