惡意域名檢測研究與應用綜述

王媛媛 吳春江 劉啟和 譚 浩 周世杰

(電子科技大學信息與軟件工程學院 四川 成都 610054)

0 引 言

域名系統協議是互聯網的重要組成部分，它將難以記憶的互聯網協議地址映射到易于記憶的域名[1-2]。大量的網絡服務依賴于域名服務來展開。由于域名系統并不對依托于其開展的服務行為進行檢測，DNS服務被濫用于各種惡意活動：傳播惡意軟件、促進命令和控制(Command and Control，C&C)服務器[3]通信，發送垃圾郵件、托管詐騙和網絡釣魚網頁[4]等。

惡意軟件控制器或僵尸程序利用惡意軟件進行各種未經授權的惡意活動。為了成功實現其目標，惡意軟件與命令和控制中心的連接至關重要。因此，以惡意域名解析的連接方式成為網路惡意攻擊的主要手段。所謂惡意域名解析，是指用戶的正常DNS解析請求解析到他人的服務器上或是攻擊者的惡意服務器上，而被解析的服務器上實際沒有相應的站點[5]。以域名為依托的網絡攻擊方式的發展變化如圖1所示。

圖1 域名攻擊發展變化

最初，攻擊者通過對惡意軟件(如僵尸網絡程序)內部的IP地址進行硬編碼，建立了與C&C中心的通信通道。當惡意軟件的可疑IP被發現，網絡安全管理員就可以針對IP進行流量阻斷，以阻止惡意軟件與攻擊者的連接。為了應對IP封鎖，攻擊者使用DNS域名解析來定位C&C服務器。通過將注冊的域名寫入惡意程序中，然后惡意程序利用域名解析得到攻擊者的命令控制服務器C&C的IP地址，以進行連接通信。即使IP地址被查了出來，攻擊者通過更換域名的IP地址就可以繼續保持與惡意程序的通信[6]。但這種方式不能抵抗安全人員逆向分析的域名黑名單，為應對黑名單的域名防御機制，攻擊者引入域名算法生成技術，利用特定的域名生成算法(Domain Generation Algorithms，DGA)，生成大量域名用于自身的組織和控制。攻擊者從算法生成的大量域名中，選取幾十個或幾百個域名進行注冊來掩護真正的C&C服務器的域名。而網絡安全管理員為應對DGA域名，也相應提出了基于DGA域名的檢測方法。

使用DGA的優勢在于模糊了控制服務器的節點位置，該方法的靈活性還讓網絡安全管理員無法阻止所有可能的域名，并且注冊一些域名對攻擊者來說成本很低。利用DGA域名實施的攻擊是網絡安全中重要的攻擊形式。因此，捕獲由惡意軟件生成的域名已成為信息安全的核心主題。

1 域名生成算法

域名生成算法是指通過輸入的隨機種子，利用加密算法，比如MD5、異或操作等，生成一系列的偽隨機字符串[7]，即域名列表。攻擊者通過與惡意軟件共享DGA的隨機種子，知道對方可能使用的域名，然后使用這些域名不斷嘗試連接直到連接成功。DGA使用的隨機種子主要分為三類：時間無關和確定性種子，時間依賴性和確定性種子以及時間依賴性和非確定性種子。隨著DGA域名的僵尸網絡的檢測方法在不斷地改進與完善，但在檢測已有的DGA域名的同時，新的DGA家族變體也在出現。迄今為止，基于360netlab公開的DGA域名家族共有40個。

由于DGA家族眾多，這里我們主要介紹幾類常用的DGA域名。表1中列出了5類常見DGA家族域名的樣例。

表1 常見DGA域名實例

Conficker[8-9]是針對Microsoft Windows操作系統的計算機蠕蟲，最初于2008年末被發現。它使用Windows操作系統軟件中的缺陷和對管理員密碼的字典攻擊在形成僵尸網絡時傳播。幾乎所有以Conficker為依托的高級惡意軟件技術都已被研究人員所熟知，但這種病毒的綜合使用使得它難以根除。

CryptoLocker[10]勒索軟件攻擊是一種針對運行Microsoft Windows的計算機的木馬，它通過受感染的電子郵件附件以及現有的Gameover Zeus[11]僵尸網絡傳播。它使用DGA從英文字母表a～y中隨機選取生成字符串長度為12至15的二級域名，每周大約生成1 000個域名。

Ramnit[12]是一種類似Zeus的惡意軟件。它使用DGA與其C2服務器通信。感染后，樣本開始快速連續地對許多不同的域進行DNS查詢。DGA使用隨機數生成器首先通過均勻地選擇8到19個字符之間的長度來確定第二級域的長度。接下來，DGA通過從“a”到“x”統一選取字母來確定第二級域(字母“z”不能被選中)，然后附加靜態頂級域“.com”。

與著名的conficker相比，symmi[13]的所有隨機方面都是真正的偽隨機，它通過當前的日期和編碼常量，利用隨機數生成器生成種子。它包含三級域名，在第三級域中，除字母“j”之外，從元音和輔音中隨機交替的挑選字母，因此隨后的字母總是來自其他字符類，這樣選取的字符組成的域名幾乎是可讀的。生成第三級域后，DGA會附加配置的第二級和頂級字符串，如“.ddns.net”。

Suppobox[14]與現有的大部分DGA都是利用偽隨機字符串生成的域名家族不同，它利用英文單詞列表，從英文單詞列表中隨機選擇兩個單詞連接在一起生成惡意域名。

隨著針對DGA檢測技術的不斷提高，傳統的DGA技術的復雜性從簡單的隨機繪制字符的方法到嘗試模擬真實域中的字符或單詞分布的方法。例如：ramnit使用從隨機種子開始的乘法、除法和模數的組合來創建域名；symmi為了能夠生成幾乎可發音的域名，隨機交替選擇元音或輔音類。另一方面，suppobox通過連接兩個偽隨機選擇的英語詞典單詞來創建域。

2 DGA域名檢測的研究與應用

DGA的靈活性及低成本使惡意軟件大量利用DGA來生成惡意域名以連接控制和命令服務器。為針對以DGA生成的域名的檢測研究最先是從DGA生成算法入手的。文獻[15]通過逆向惡意樣本的DGA算法，提前搶注域名來控制惡意軟件與C&C通信。雖然逆向技術可以深入了解惡意樣本采用的域名生成算法以及對域名的使用機制，但這種方法所消耗的人力資源過大且應用受限。因此后續在異常域名檢測識別方面研究主要包括基于網絡流量上下文特征提取的機器學習方法的檢測、基于無特征提取的深度學習方法的檢測和基于附加條件的深度學習方法的檢測。

2.1 基于特征提取的機器學習方法的檢測

通過特征提取的惡意域名檢測方法主要分為兩類：一是根據域名字符統計特征的檢測，二是根據DNS流量信息的檢測。

2.1.1域名字符統計特征的檢測

域名在構造上可以分為主機名和域名(包含頂級域名和可能存在的二級和三級域名)。由于域名部分數據相對固定，變化較少，因此大部分對域名的研究處理是針對主機名的處理，以下提及的域名都是指域名的主機名。

利用合法域名與DGA域名在字符分布上有明顯的差異，Davuth等[16]以域名的bigram作為特征，通過人工閾值的方式過濾出現頻率較低的bigram，采用支持向量機分類器檢測隨機域名。Yadav等[17]通過查看同一組IP地址的所有域中的unigram和bigram特征分布，查找算法生成的域名的固有模式來檢測DNS流量中的域名。在域名長度上，Mowbray等[18]在域名查詢服務中通過使用不尋常的字符串長度分布來檢測惡意域名。王紅凱等[19]提出了一種基于隨機森林的隨機域名檢測方法。該方法以人工提取的域名長度、域名字符信息熵分布，元音輔音比、有意義的字符比率等特征來構建隨機森林模型訓練分類，實現對隨機域名的檢測。隨后Agyepong等[20]也利用算法生成域名與正常域名的字符分布的不同，分別利用域名K-L距離、編輯距離、Jaccard系數分別作為特征向量的識別效果。除了利用域名傳統定量的域名特征之外，文獻[21]使用分詞算法將域名分割成單個詞，來擴展特征集的大小以提高檢測惡意域名的能力。

2.1.2DNS流量信息的檢測

在DNS流量分析上面，文獻[22]提出了一種依賴于fast-flux僵尸網絡的三個特征：委托代理模式、惡意活動的執行者和硬件性能，來檢測Web服務是否被fast-flux僵尸網絡實時托管。Bilge等[23]介紹了一個名為Exposure的系統，它利用DNS分析技術來檢測涉及惡意活動的域，通過從DNS流量中提取15個特征來描述DNS名稱的不同屬性以及查詢它們的方式。與之前的DNS流量分析不同，Antonakakis等[24]通過分析因名稱錯誤響應的域名的DNS查詢，也稱為NXDOMAIN響應，即不存在IP地址的域名，并設計了一個名為Pleisdes的系統來檢測DGA生成的域。它主要利用由DGA生成的域名中，只有相對較少的域名成功解析為C&C服務器的地址的特點。當Pleiades找到一組NXDOMAIN時，它應用統計學習技術構建DGA模型，然后用它來檢測用同一種DGA算法的受感染的主機，并檢測與DGA看起來類似的活動域名，因為其有可能指向僵尸網絡C&C服務器的地址。Pleiades具有能夠發現和建模新的DGA而無需勞動密集型惡意軟件逆向工程的優勢。另外Pleiades通過監控本地網絡中的DNS流量來實現這些目標，而無需大規模部署先前工作所需的DNS分析工具。文獻[25]也通過分析NXDOMAIN響應來檢測DGA域名。此外，文獻[26-27]通過DNS數據源及其豐富度、數據分析方法以及評估策略和度量，對近年來使用DNS數據的惡意域名檢測技術的一般框架分類，并就DNS領域下的檢測提出了一些挑戰：大規模的真實DNS數據日志很少公開可用，惡意域的特征彈性以及缺少評估的具體方案。

通過網絡的DNS流量的上下文信息及域名的統計特征對潛在的DGA分類有一定的成果，但是這些不能滿足實時檢測和預防的現實安全應用的需求。為滿足實時檢測的要求，諸多的實時方法都使用手工挑選的特征(例如：熵、字符串長度、元音比、輔音比等)。機器學習模型，例如隨機深林分類器[19]就是比較典型的一個。然而，這些依賴人工提取特征檢測方法存在著誤報率較高、整體檢測率低的問題。主要原因有兩方面：一方面，大多數現有的基于網絡的僵尸網絡檢測方法僅限于數據包檢測級別，大多數方法也主要關注網絡流的部分特征，不能完全表征僵尸網絡的異常行為；另一方面，僵尸網絡與時俱進，利用先進的思想和技術來逃避檢測。特別是為了應對人工提取的特征檢測，攻擊者可以設計新的DGA算法以繞過某些固定的特征。隨著檢測技術的不斷發展，僵尸網絡變得越來越復雜和智能化，在一定程度上表現出復雜性和對抗性，這使得網絡安全形勢依然嚴峻。

2.2 基于無特征提取的深度學習方法的檢測

在以往依賴手工提取的特征來檢測惡意域名有兩個主要的缺點：手工提取的特征容易規避，手工提取特征耗時。Antonakakis等[28]提出了無特征的實時技術隱馬爾可夫模型(HMM)。但HMM在檢測DGA方面表現不佳。深度學習方法是傳統機器學習機制的復雜模型，具有將輸入信息提取為最佳特征表示的巨大能力，在語音識別和圖像識別領域取得了顯著的成果，也為惡意域名檢測技術提供了一個全新的思路。近年的多數研究采用深度學習方法，如文獻[29]提出了一種基于word-hashing技術的深度學習網絡對域名進行分類，其不僅避免了手工提取特征還發現了傳統統計方法無法發現的特征。接下來我們介紹兩種主要的神經網絡模型在惡意域名檢測上的應用。

2.2.1RNN在域名檢測的應用

循環神經網絡[30](RNN)因其能捕獲序列之間有意義的時間關系被應用于各種自然語言任務中。因此，初期主要應用循環神經網絡、遞歸神經網絡來檢測偽域名。但RNN在長鏈操作中易導致梯度消失問題，不具備學習長期依賴信息的能力。LSTM[31-32]在RNN的基礎上增加一個狀態信息使其能夠學習長期依賴信息，在長時間的學習模式方面非常擅長文本和言語處理，因此被廣泛應用。Woodbridge等[33]利用長短期記憶網絡實現對DGA的實時預測，而無需上下文信息或手動創建的特征。其模型框架如圖2所示，包括一個嵌入層，一個基本上用作特征提取器的LSTM層以及一個邏輯回歸分類器。基于RNN的DGA檢測模型都是類似于此模型框架。另外其所提出的技術可以準確地執行多種分類，從而能夠將DGA生成的域歸屬于特定的DGA家族。

圖2 基于LSTM的DGA域名檢測模型

Yu等[34]為了比較深度學習方法的優勢，以傳統的機器學習方法中比較有效的基于特征構建的隨機森林模型作為基準實驗，利用LSTM網絡和CNN網絡進行域名檢測分類比較。在整體檢測率上，CNN和LSTM模型相對于隨機森林有突出的表現，但在個別DGA上表現不佳。存在的原因大概有兩方面：一是因數據不平衡導致檢測率低或識別誤差大；二是傳統的DGA和基于字典的DGA之間存在偏差的樣本分布。為解決DGA家族中個體識別率低，Tran等[35]提出了一種改進的成本敏感的LSTM算法來應對DGA域名數據多類不平衡的問題，相對原始敏感LSTM算法，具有較高的準確率。

之后，Vinayakumar等[36]也比較了幾種常見的神經網絡模型。他們對遞歸神經網絡(RNN)、身份-遞歸神經網絡(I-RNN)、長期短期記憶(LSTM)、卷積神經網絡(CNN)和卷積神經網絡長短期內存(CNN-LSTM)體系結構五類神經網絡進行實驗比較。結果表明，深度學習方法，特別是遞歸神經網絡系列和混合網絡顯示出優越的性能，最高檢測率分別為0.994 5和0.987 9。主要原因是深度學習方法具有捕獲層次特征提取和序列輸入中的長期依賴性的固有機制。

以循環神經網絡為基本框架的檢測模型對隨機性高的DGA域名檢測準確率高，但對隨機性低的DGA域名識別率低，導致對正常域名產生較高的誤報。因此，此類網絡在低隨機性和基于字典的DGA域名成為其未來的主要發展點。

2.2.2GAN在域名檢測的應用

Goodfellow等[37]在2014年提出的生成對抗網絡(GAN)是一種深度學習[38]模型，為生成模型提供了一個新的框架。它借鑒博弈論中的納什均衡思想[39]，使生成器和鑒別器相互學習以生成模擬數據。生成器捕獲實際數據的分布，而鑒別器估計樣本來自訓練集的概率。Anderson等[40]利用了生成對抗網絡的思想，構建了基于深度學習的DGA域名生成對抗樣本方法。在一系列的對抗輪回中，生成器學習生成檢測器越來越難以檢測的域名。相反地，檢測器通過更新其參數以提高檢測。其提出的生成對抗網絡是基于預先訓練的自動編碼器(編碼器+解碼器)，其中自動編碼器先在Alexa的一百萬個域中訓練，以生成看起來更像真實域名的域。然后在生成對抗網絡中競爭性地重新組裝編碼器和解碼器，模型框架大致如圖3所示。由于編解碼器是預訓練好的，因此，在對抗訓練中，只訓練生成模型的生成層和判別模型的邏輯回歸層。最后用隨機森林DGA分類器來驗證生成的對抗樣本的表現力。

圖3 基于生成對抗網絡的域名對抗樣本生成模型

雖然在基于人工特征提取的隨機森林DGA分類器上，對抗樣本表現良好，但實驗對比較少，只驗證了在隨機森林模型上的檢測效果。之后，文獻[41]也采用了GAN的思想來生成惡意域名對抗樣本，不同之處在于編碼器部分的設計，后者設計了基于的Ascall編碼方式定義域名編、解碼器對域名字符進行向量映射及逆映射，然后將處理好的數據輸入對抗網絡。接著用生成的樣本與真實的數據的檢測率作對比實驗，以驗證生成的對抗樣本的有效性。

然而，我們知道GAN在自然圖像分類處理上取得了較好的成果，但是樸素GAN在處理像序列這種離散數據上存在兩個問題：一是生成器難以傳遞梯度更新；二是鑒別器難以評估非常完整的序列。因此由于域名數據的序列性，利用GAN生成域名數據應用上的研究較少。

在GAN研究應用上，大多數研究更多地關注生成模型，如圖像超分辨率[42]、文本到圖像合成[43]，圖像到圖像翻譯和語音增強[44]等。與其他的GAN變體不同，文獻[45]將視角放在了鑒別器上，提出了一種基于生成對抗網絡的僵尸網絡檢測增強框架，該網絡通過生成器連續生成“假”樣本，并擴展標記的數量，以幫助原始模型進行僵尸網絡檢測和分類。

2.3 基于附加條件的深度學習方法的檢測

單純的深度學習的檢測方法在應對越來越智能的DGA域名上的表現不佳，為此后面的研究都在深度學習方法的基礎上增加了附加條件以提高檢測率。

LSTM在域名很長時，很難學會合理的表達，因此文獻[46]提出了一個結合注意機制的LSTM模型。該模型將注意力集中在域中更重要的子串并改善域的表達，并在DGA檢測中實現更好的性能，尤其是對于長域。在二元分類中，其誤報率分別低至1.29%和假負率0.76%。陳立皇等[47]也提出了一種基于注意力機制的深度學習模型，不同的是，他們提出一種域名的多字符隨機性提取方法，提升了識別低隨機DGA域名的有效性。Satoh等[48]通過詞法分析和Web搜索來估計域名隨機性，但該方法對域名長度較短時，無法區分，不包含在字典中的域名會被誤判。

為了逃避應用神經網絡的檢測技術，惡意域名已升級為多個單詞的組合來欺騙神經網絡的檢測。為此，Curtin等[49]提出了smash分數來評估DGA域名像英文單詞的程度，然后設計了一種新的模型：遞歸神經網絡架構與域注冊信息的組合。雖然實驗在對matsnu和suppobox這種看起來像自然域名的家族的檢測效果好，但是在那些看起來不像自然域名DGA系列表現效果欠佳。

3 結 語

以互聯網為依托的經濟貿易圈日益增大，網絡信息安全成為了近年來關注的熱點。以域名欺騙技術為首的網絡攻擊方式也在不斷更新迭代。通過國內外在惡意域名特別是算法生成的域名上的檢測研究分析，在惡意域名檢測的對抗環境中，惡意軟件從簡單的利用域名生成算法生成偽隨機字符串的域名來和控制與命令服務器連接，發展到為躲避神經網絡檢測的更智能化的域名，即由英語單詞構成的域名。與之對抗的，網絡安全研究人員也從手工提取域名字符特征、DNS流量特征的機器學習方法發展到利用神經網路自動學習特征的轉變和改進來提高模型的檢測率與性能。

大多數研究是基于域名字符特征的規律來識別合法域名與偽域名。由于DGA域名生成算法在不斷地更新，新的DGA家族變體在不斷涌現，特別是目前對由英語單詞拼接的域名檢測上效果不佳。DGA家族因其算法實現不同，不同家族生成的域名數據量不一，導致訓練數據過少、識別率低等問題。雖然有研究提出了解決多類不平衡的算法，在一定程度上提高了檢測率，但沒有從根本上解決數據源的問題。另外現有的檢測模型都是基于某一類問題而提出的，例如文獻[49]提出的檢測模型只針對像matsnu這樣難以檢測的家族，而在一般DGA家族的檢測表現欠佳。針對以上問題，DGA域名的檢測可以從以下三方面展開研究：

(1) DGA域名變體的研究 DGA域名變體生成的域名大多數為了躲避基于字符特征的模型檢測，利用英語單詞列表隨機生成。雖然這類偽域名從馬爾可夫模型或是n-gram分布的角度來看，都和正常域名沒有太大的區別。但是通過觀察這些域名可以看出域名的長度與正常域名相差較大，以及這些域名都是由幾個毫無關聯的單詞拼湊而成，因此可以針對這兩個角度對這類域名檢測。

(2) 惡意域名對抗樣本的生成方法研究 現有的偽隨機域名生成方式大概分為兩類：一類是通過逆向工程等手段破解DGA生成算法，還原DGA算法生成偽隨機域名，但這類生成的域名大都具有固定模式，在有限數據集上訓練的模型缺乏對新的DGA變體的預測。另一類就是通過生成對抗網絡來生成對抗樣本，文獻[21]利用GAN生成了域名的對抗樣本，并用實驗證明了對抗樣本在充當惡意域名數據及預測未知DGA家族上有可觀的表現。但由于GAN主要是處理連續數據，對離散序列數據的上表現較差，所以針對文本序列數據處理，文獻[50]提出了SeqGAN(Sequence Generative Adversarial)來解決樸素GAN在離散數據處理上的問題，并在語言文本上[51]有不錯的表現。相信未來通過SeqGAN生成的域名對抗樣本會有更高的質量。

因此，研究DGA惡意域名對抗樣本的生成方法有助于預測未來可能出現的DGA變體域名。另外，通過訓練惡意域名對抗樣本也有益于解決由于DGA家族存在數據不平衡導致惡意域名檢測識別差的問題。

(3) 惡意域名的檢測模型 基于現有的檢測模型，如何設計一個高效的檢測模型是一個難點，因為偽域名越來越智能化，可以逃避一般的神經網絡模型的檢測。同時如何將模型設計成為一個既可以作為單獨的模型，也可以作為更大的DGA檢測系統的一部分，還可以包含網絡流量，運用到實時的網絡安全系統中也是未來的可發展點。