基于信息熵的惡意域名識別技術

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網絡工程系 安徽 210037）

基于信息熵的惡意域名識別技術

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網絡工程系 安徽 210037）

域名系統是互聯網中的重要資源，是互聯網重要的基礎設施的，惡意域名識別技術用于發現以域名系統為保護的域名。本文分析研究了現有的惡意域名識別技術，提出一種基于信息熵的惡意域名識別技術。從域名解析記錄中提取長時間周期上的動態解析變化特征，包括IP地址波動，ns解析服務器變動以及cname、SOA記錄擾動等，針對惡意域名表現出的“偽裝”和“跳變”特點，對域名進行信譽評分，最終表征域名性質，實驗結果表明，該技術達到了93．86%的識別準確率。

網絡安全；惡意域名；信息熵；信譽評分

0 引言

惡意域名是當前的互聯網重要的安全威脅之一。域名系統作為互聯網中重要的基礎建設，提供將域名轉換至IP地址的功能，將人從不便于記憶的 IP地址中解放出來，完成正常的互聯網訪問請求。但是，由于域名系統自身存在的脆弱性問題，常常被惡意人員利用，成為其惡意行為過程中的隱蔽通道，充當跳板作用。在惡意域名的直接或者間接作用下可以完成諸如分布式拒絕服務攻擊（DDoS）、網絡釣魚、垃圾郵件分發等行為，或者進一步為后續控制完成后的信息獲取、遠程控制等提供助力。

根據cncert/cc給出的《2016年中國互聯網網絡安全報告》[1]中指出，抽樣檢測中發現2016年約有9.7萬個木馬和僵尸網絡控制服務控制我國境內1699萬余臺主機，規模在10萬臺以上的僵尸網絡有52個。……