基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網(wǎng)絡(luò)工程系 安徽 210037）

基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網(wǎng)絡(luò)工程系 安徽 210037）

域名系統(tǒng)是互聯(lián)網(wǎng)中的重要資源，是互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施的，惡意域名識別技術(shù)用于發(fā)現(xiàn)以域名系統(tǒng)為保護的域名。本文分析研究了現(xiàn)有的惡意域名識別技術(shù)，提出一種基于信息熵的惡意域名識別技術(shù)。從域名解析記錄中提取長時間周期上的動態(tài)解析變化特征，包括IP地址波動，ns解析服務器變動以及cname、SOA記錄擾動等，針對惡意域名表現(xiàn)出的“偽裝”和“跳變”特點，對域名進行信譽評分，最終表征域名性質(zhì)，實驗結(jié)果表明，該技術(shù)達到了93．86%的識別準確率。

網(wǎng)絡(luò)安全；惡意域名；信息熵；信譽評分

0 引言

惡意域名是當前的互聯(lián)網(wǎng)重要的安全威脅之一。域名系統(tǒng)作為互聯(lián)網(wǎng)中重要的基礎(chǔ)建設(shè)，提供將域名轉(zhuǎn)換至IP地址的功能，將人從不便于記憶的 IP地址中解放出來，完成正常的互聯(lián)網(wǎng)訪問請求。但是，由于域名系統(tǒng)自身存在的脆弱性問題，常常被惡意人員利用，成為其惡意行為過程中的隱蔽通道，充當跳板作用。在惡意域名的直接或者間接作用下可以完成諸如分布式拒絕服務攻擊（DDoS）、網(wǎng)絡(luò)釣魚、垃圾郵件分發(fā)等行為，或者進一步為后續(xù)控制完成后的信息獲取、遠程控制等提供助力。

根據(jù)cncert/cc給出的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》[1]中指出，抽樣檢測中發(fā)現(xiàn)2016年約有9.7萬個木馬和僵尸網(wǎng)絡(luò)控制服務控制我國境內(nèi)1699萬余臺主機，規(guī)模在10萬臺以上的僵尸網(wǎng)絡(luò)有52個。……