基于機器學習建模的DGA惡意域名檢測*

王 偉，羅鵬宇

（1.中國電子科技網絡信息安全有限公司，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著互聯網應用的持續(xù)發(fā)展和終端用戶數量的爆炸式增長，網絡化的生活和虛擬化的資產使得互聯網已成為人們日常生活中必不可少的一部分。域名系統（Domain Name System，DNS）[1]是網絡中最常見的基礎設施，但由于存在缺陷常常被僵尸網絡[2]、釣魚網站[3]等惡意網絡行為利用。攻擊者會按照目標定位、偵查跟蹤、武器構造、載荷投遞、漏洞利用等常規(guī)的殺傷鏈[4]步驟進行攻擊，并執(zhí)行遠程命令與服務器進行連接來完成“C2控制”，期間攻擊者會使用一種名叫domain-flux[5]的技術。domain-flux技術主要通過不同的算子生成大量不同域名生成算法（Domain Deneration Algorithm，DGA）家族[6]的原始域名，被感染主機會查詢大量的DGA惡意域名并僅和攻擊者注冊的少部分有效域名建立連接，攻擊者通過這種方式訪問遠程服務器以達到躲避安全檢測的目的。由于DGA域名數量巨大且惡意網絡難以被識別，因此精確檢測與封堵DGA域名意義重大，且隨著《中華人民共和國網絡安全法》[7]的頒布，網絡安全[8]的保障工作早已迫在眉睫。

為了檢測DGA域名，蔣鴻玲等人[9]提出了基于多層感知器訓練算法模型來檢測惡意域名，通過6個維度構造算法特征，并通過對比各個不同模型結果的ROC曲線面積（Area Under Curve，AUC）值來找出最優(yōu)的分類算法，此方法具有較好的特征提取思路，但特征略微單一，無法穩(wěn)定地檢測和識別惡意域名。Yadav等人[5]提出了通過……