DGA：域名生成算法

概念

DGA（Domain Generation Algorithm，域名生成算法），是一种恶意软件使用的算法，可定期生成大量域名，即DGA域名。

作用

让C&C服务器更加隐蔽，降低攻击发现几率，增强僵尸网络的鲁棒性。

由于C&C服务器和受害机间通信运行同一套DGA算法，生成相同的备选域名列表，并且受害机会定时尝试连接C&C服务器。当需要发动攻击的时候，选择其中少量进行注册，配置为C&C服务器的域名，受害机中的恶意程序便可以和C&C服务器建立通信，受害机上的恶意程序将接受C&C服务端指令，进行信息收集和恶意破坏等一系列恶意活动。由于DGA算法可以生成大量备选域名，并且可以对注册的域名应用速变IP技术，快速变换IP，从而让C&C域名和IP都可以进行快速变化，增加安全检测排查难度。

检测手段

• 建立黑名单库

  判断域名是否在黑名单内，然后决定是否连接该域名以及是否告警，从而检测和抵御某些远控木马。

  缺点：DGA算法一天内可生成成千上万的域名，不可能每天都重复收集和更新黑名单库，并且黑名单库也难以检测未知的DGA域名

• 利用机器学习方法分析

---

参考文献

https://www.bilibili.com/video/BV1YU4y1b7Sn?from=search&seid=13222666918084489851 B站-DGA域名检测的工程实践

https://en.wikipedia.org/wiki/Domain_generation_algorithm 维基百科-Domain Generation Algorithm

https://blog.csdn.net/u013617791/article/details/118893380 CSDN - C&C服务器

https://www.secrss.com/articles/14369 安全内参 - DGA域名的今生前世：缘起、检测、与发展