DGA:域名生成算法

2 篇文章 0 订阅

概念

DGA(Domain Generation Algorithm,域名生成算法),是一种恶意软件使用的算法,可定期生成大量域名,即DGA域名

作用

C&C服务器更加隐蔽,降低攻击发现几率,增强僵尸网络的鲁棒性。

由于C&C服务器和受害机间通信运行同一套DGA算法,生成相同的备选域名列表,并且受害机会定时尝试连接C&C服务器。当需要发动攻击的时候,选择其中少量进行注册,配置为C&C服务器的域名,受害机中的恶意程序便可以和C&C服务器建立通信,受害机上的恶意程序将接受C&C服务端指令,进行信息收集和恶意破坏等一系列恶意活动。由于DGA算法可以生成大量备选域名,并且可以对注册的域名应用速变IP技术,快速变换IP,从而让C&C域名和IP都可以进行快速变化,增加安全检测排查难度。

检测手段

  • 建立黑名单库

    判断域名是否在黑名单内,然后决定是否连接该域名以及是否告警,从而检测和抵御某些远控木马。

    缺点:DGA算法一天内可生成成千上万的域名,不可能每天都重复收集和更新黑名单库,并且黑名单库也难以检测未知的DGA域名

  • 利用机器学习方法分析


参考文献

https://www.bilibili.com/video/BV1YU4y1b7Sn?from=search&seid=13222666918084489851 B站-DGA域名检测的工程实践

https://en.wikipedia.org/wiki/Domain_generation_algorithm 维基百科-Domain Generation Algorithm

https://blog.csdn.net/u013617791/article/details/118893380 CSDN - C&C服务器

https://www.secrss.com/articles/14369 安全内参 - DGA域名的今生前世:缘起、检测、与发展

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值