◆胡建平 汪永益 許成喜 施 凡
(電子工程學(xué)院網(wǎng)絡(luò)工程系 安徽 210037)
基于信息熵的惡意域名識別技術(shù)
◆胡建平 汪永益 許成喜 施 凡
(電子工程學(xué)院網(wǎng)絡(luò)工程系 安徽 210037)
域名系統(tǒng)是互聯(lián)網(wǎng)中的重要資源,是互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施的,惡意域名識別技術(shù)用于發(fā)現(xiàn)以域名系統(tǒng)為保護(hù)的域名。本文分析研究了現(xiàn)有的惡意域名識別技術(shù),提出一種基于信息熵的惡意域名識別技術(shù)。從域名解析記錄中提取長時(shí)間周期上的動(dòng)態(tài)解析變化特征,包括IP地址波動(dòng),ns解析服務(wù)器變動(dòng)以及cname、SOA記錄擾動(dòng)等,針對惡意域名表現(xiàn)出的“偽裝”和“跳變”特點(diǎn),對域名進(jìn)行信譽(yù)評分,最終表征域名性質(zhì),實(shí)驗(yàn)結(jié)果表明,該技術(shù)達(dá)到了93.86%的識別準(zhǔn)確率。
網(wǎng)絡(luò)安全;惡意域名;信息熵;信譽(yù)評分
惡意域名是當(dāng)前的互聯(lián)網(wǎng)重要的安全威脅之一。域名系統(tǒng)作為互聯(lián)網(wǎng)中重要的基礎(chǔ)建設(shè),提供將域名轉(zhuǎn)換至IP地址的功能,將人從不便于記憶的 IP地址中解放出來,完成正常的互聯(lián)網(wǎng)訪問請求。但是,由于域名系統(tǒng)自身存在的脆弱性問題,常常被惡意人員利用,成為其惡意行為過程中的隱蔽通道,充當(dāng)跳板作用。在惡意域名的直接或者間接作用下可以完成諸如分布式拒絕服務(wù)攻擊(DDoS)、網(wǎng)絡(luò)釣魚、垃圾郵件分發(fā)等行為,或者進(jìn)一步為后續(xù)控制完成后的信息獲取、遠(yuǎn)程控制等提供助力。
根據(jù)cncert/cc給出的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》[1]中指出,抽樣檢測中發(fā)現(xiàn)2016年約有9.7萬個(gè)木馬和僵尸網(wǎng)絡(luò)控制服務(wù)控制我國境內(nèi)1699萬余臺(tái)主機(jī),規(guī)模在10萬臺(tái)以上的僵尸網(wǎng)絡(luò)有52個(gè)。……