基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網(wǎng)絡(luò)工程系 安徽 210037）

基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學院網(wǎng)絡(luò)工程系 安徽 210037）

域名系統(tǒng)是互聯(lián)網(wǎng)中的重要資源，是互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施的，惡意域名識別技術(shù)用于發(fā)現(xiàn)以域名系統(tǒng)為保護的域名。本文分析研究了現(xiàn)有的惡意域名識別技術(shù)，提出一種基于信息熵的惡意域名識別技術(shù)。從域名解析記錄中提取長時間周期上的動態(tài)解析變化特征，包括IP地址波動，ns解析服務(wù)器變動以及cname、SOA記錄擾動等，針對惡意域名表現(xiàn)出的“偽裝”和“跳變”特點，對域名進行信譽評分，最終表征域名性質(zhì)，實驗結(jié)果表明，該技術(shù)達到了93．86%的識別準確率。

網(wǎng)絡(luò)安全；惡意域名；信息熵；信譽評分

0 引言

惡意域名是當前的互聯(lián)網(wǎng)重要的安全威脅之一。域名系統(tǒng)作為互聯(lián)網(wǎng)中重要的基礎(chǔ)建設(shè)，提供將域名轉(zhuǎn)換至IP地址的功能，將人從不便于記憶的 IP地址中解放出來，完成正常的互聯(lián)網(wǎng)訪問請求。但是，由于域名系統(tǒng)自身存在的脆弱性問題，常常被惡意人員利用，成為其惡意行為過程中的隱蔽通道，充當跳板作用。在惡意域名的直接或者間接作用下可以完成諸如分布式拒絕服務(wù)攻擊（DDoS）、網(wǎng)絡(luò)釣魚、垃圾郵件分發(fā)等行為，或者進一步為后續(xù)控制完成后的信息獲取、遠程控制等提供助力。

根據(jù)cncert/cc給出的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》[1]中指出，抽樣檢測中發(fā)現(xiàn)2016年約有9.7萬個木馬和僵尸網(wǎng)絡(luò)控制服務(wù)控制我國境內(nèi)1699萬余臺主機，規(guī)模在10萬臺以上的僵尸網(wǎng)絡(luò)有52個。……