近年来,域名生成算法(dga)技术日渐成熟,已被黑客组织广泛采用,如2020年全球性solarwinds供应链攻击的后门软件就植入了dga域名算法;2020年“永恒之蓝下载器木马”更新版本增加了dga域名攻击。
在攻击活动中,黑客与目标主机之间建立c&c通信是重要环节。以往采用在木马软件中直接写入指定域名或ip地址的方式实现僵尸网络c&c通信,这种方式隐秘性差,通信很容易被拦截阻断。而dga的出现则改变了这种状况,黑客在木马中植入dga,木马在目标主机上运行会生成一系列伪随机域名序列,依序不断向dns服务器发起查询,直到获得有效ip响应,成功使目标主机受控加入僵尸网络。
当前dga恶意域名在检测上主要面临以下问题:
dga域名生成算法逆向难,破解难度高;
隐秘性高,能够逃避基于规则或黑名单的检测;
现有的检测手段普遍存在较高的误报率、漏报率。
正因为dga恶意域名在检测上难度较大,所以被黑客组织广泛采用,已成为网络威胁中难以击毙的“敌人”!
面对dga恶意域名狙击难的问题,天融信僵尸网络木马和蠕虫监测与处置系统(简称toptvd,俗称“九合一探针”)采用ai技术做为武器,精准狙击“敌人”!
绕过dga域名算法破解难题
“九合一探针”采用ai深度学习技术中的循环神经网络 (rnn),对海量恶意域名样本充分训练,通过生成检测模型来识别网络中伪随机域名,解决dga域名算法逆向破解难题。
狙击隐秘性恶意域名
rnn是一种深度神经网络模型,相比传统机器学习模型,rnn模型具备隐藏层和节点更多的特性,更易获取特征之间隐藏的共性,帮助“九合一探针”对隐秘性高的dga恶意域名进行深入检测。
精细分类提升命中率
rnn具有自动提取样本特征的能力,对于人工不易区分的随机字符串及有意义的字符串,rnn可挖掘其内在的字符分布统计特征,将传统方法的分类精度大幅提升。下图为某实际项目应用的测试数据,使用同一测试域名样本,rnn与传统机器学习的检测成果相比,rnn检测率高,误报率、漏报率低。
在僵尸网络检测上,“九合一探针”除了采用ai技术,还具有特征匹配、异常行为分析以及隐蔽通信隧道识别等多种检测方式,有效帮助客户排查网络中的木马扩散、肉鸡、挖矿、勒索、被恶意监视等威胁,遏抑ddos攻击,为apt攻击跟踪挖掘提供多维线索,充分保障客户网络安全。
- 关键词标签:
- 天融信 dga恶意域名 九合探针