Linuxword Global
当前位置: 通信协议 > DGA恶意域名怎么破?

近年来,域名生成算法(DGA)技术日渐成熟,已被黑客组织广泛采用,如2020年全球性SolarWinds供应链攻击的后门软件就植入了DGA域名算法;2020年“永恒之蓝下载器木马”更新版本增加了DGA域名攻击。

在攻击活动中,黑客与目标主机之间建立C&C通信是重要环节。以往采用在木马软件中直接写入指定域名或IP地址的方式实现僵尸网络C&C通信,这种方式隐秘性差,通信很容易被拦截阻断。而DGA的出现则改变了这种状况,黑客在木马中植入DGA,木马在目标主机上运行会生成一系列伪随机域名序列,依序不断向DNS服务器发起查询,直到获得有效IP响应,成功使目标主机受控加入僵尸网络。

a8c54a946db34c80a8031e234b3b9f97

当前DGA恶意域名在检测上主要面临以下问题:

  • DGA域名生成算法逆向难,破解难度高;
  • 隐秘性高,能够逃避基于规则或黑名单的检测;
  • 现有的检测手段普遍存在较高的误报率、漏报率。

正因为DGA恶意域名在检测上难度较大,所以被黑客组织广泛采用,已成为网络威胁中难以击毙的“敌人”!

面对DGA恶意域名狙击难的问题,天融信僵尸网络木马和蠕虫监测与处置系统(简称TopTVD,俗称“九合一探针”)采用AI技术做为武器,精准狙击“敌人”!

fbf0f1c1600b415abf014aecccb15b2a

绕过DGA域名算法破解难题

“九合一探针”采用AI深度学习技术中的循环神经网络 (RNN),对海量恶意域名样本充分训练,通过生成检测模型来识别网络中伪随机域名,解决DGA域名算法逆向破解难题。

狙击隐秘性恶意域名

RNN是一种深度神经网络模型,相比传统机器学习模型,RNN模型具备隐藏层和节点更多的特性,更易获取特征之间隐藏的共性,帮助“九合一探针”对隐秘性高的DGA恶意域名进行深入检测。

f9cf12e643a6401c890ce29315f66c70

精细分类提升命中率

RNN具有自动提取样本特征的能力,对于人工不易区分的随机字符串及有意义的字符串,RNN可挖掘其内在的字符分布统计特征,将传统方法的分类精度大幅提升。下图为某实际项目应用的测试数据,使用同一测试域名样本,RNN与传统机器学习的检测成果相比,RNN检测率高,误报率、漏报率低。

48455807671c41dabdb07cdfa83adeb6

「梦想一旦被付诸行动,就会变得神圣,如果觉得我的文章对您有用,请帮助本站成长」

赞(0) 打赏
一分也是爱

支付宝扫一扫打赏

微信扫一扫打赏

标签:

上一篇:

下一篇:

相关推荐

博客简介

本站CDN采用VmShell免费提供离中国大陆最近的香港CMI高速网络做支撑,ToToTel打造全球最快速的边沿网络支撑服务,具体详情请见 :https://vmshell.com/ 以及 https://tototel.com/,网站所有的文件和内容禁止大陆网站搬迁复制,谢谢,VPS营销投稿邮箱: admin@linuxxword.com,我们免费帮大家发布,不收取任何费用,请提供完整测试文稿!

精彩评论

友情链接

他们同样是一群网虫,却不是每天泡在网上游走在淘宝和网游之间、刷着本来就快要透支的信用卡。他们或许没有踏出国门一步,但同学却不局限在一国一校,而是遍及全球!申请交换友链

站点统计

  • 文章总数: 2289 篇
  • 草稿数目: 12 篇
  • 分类数目: 6 个
  • 独立页面: 0 个
  • 评论总数: 2 条
  • 链接总数: 0 个
  • 标签总数: 5772 个
  • 注册用户: 139 人
  • 访问总量: 8,650,343 次
  • 最近更新: 2024年3月27日