基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學(xué)院網(wǎng)絡(luò)工程系 安徽 210037）

基于信息熵的惡意域名識別技術(shù)

◆胡建平 汪永益 許成喜 施 凡

（電子工程學(xué)院網(wǎng)絡(luò)工程系 安徽 210037）

域名系統(tǒng)是互聯(lián)網(wǎng)中的重要資源，是互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施的，惡意域名識別技術(shù)用于發(fā)現(xiàn)以域名系統(tǒng)為保護(hù)的域名。本文分析研究了現(xiàn)有的惡意域名識別技術(shù)，提出一種基于信息熵的惡意域名識別技術(shù)。從域名解析記錄中提取長時(shí)間周期上的動(dòng)態(tài)解析變化特征，包括IP地址波動(dòng)，ns解析服務(wù)器變動(dòng)以及cname、SOA記錄擾動(dòng)等，針對惡意域名表現(xiàn)出的“偽裝”和“跳變”特點(diǎn)，對域名進(jìn)行信譽(yù)評分，最終表征域名性質(zhì)，實(shí)驗(yàn)結(jié)果表明，該技術(shù)達(dá)到了93．86%的識別準(zhǔn)確率。

網(wǎng)絡(luò)安全；惡意域名；信息熵；信譽(yù)評分

0 引言

惡意域名是當(dāng)前的互聯(lián)網(wǎng)重要的安全威脅之一。域名系統(tǒng)作為互聯(lián)網(wǎng)中重要的基礎(chǔ)建設(shè)，提供將域名轉(zhuǎn)換至IP地址的功能，將人從不便于記憶的 IP地址中解放出來，完成正常的互聯(lián)網(wǎng)訪問請求。但是，由于域名系統(tǒng)自身存在的脆弱性問題，常常被惡意人員利用，成為其惡意行為過程中的隱蔽通道，充當(dāng)跳板作用。在惡意域名的直接或者間接作用下可以完成諸如分布式拒絕服務(wù)攻擊（DDoS）、網(wǎng)絡(luò)釣魚、垃圾郵件分發(fā)等行為，或者進(jìn)一步為后續(xù)控制完成后的信息獲取、遠(yuǎn)程控制等提供助力。

根據(jù)cncert/cc給出的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》[1]中指出，抽樣檢測中發(fā)現(xiàn)2016年約有9.7萬個(gè)木馬和僵尸網(wǎng)絡(luò)控制服務(wù)控制我國境內(nèi)1699萬余臺(tái)主機(jī)，規(guī)模在10萬臺(tái)以上的僵尸網(wǎng)絡(luò)有52個(gè)。……