近年来,僵尸网络已成为黑客产业链中的一个重要环节:攻击者通过各种途径传播僵尸程序感染大量主机,被感染的主机接收攻击者指令,组成一个僵尸网络。众多计算机在不知不觉中如同僵尸群一样被驱赶和指挥,成为被黑客利用的工具。一方面,被控主机被迫从事各种需要耗费网络资源的活动,使自身的网络性能受到严重影响;另一方面,攻击者利用僵尸网络中大量的肉鸡对外发起各种各样的攻击行为,导致基础网络或者重要应用系统瘫痪,甚至带来经济损失。
僵尸网络关键武器——dga域名生成算法
僵尸网络中用来控制主机并负责处理信息、下发任务的中心机器称为c&c服务器(control & command)。在早期,主控端通常采用轮询固定c&c域名或ip的方法来获取域名,但这种固定域名ip的方式在安全人员进行逆向排查之后可得到有效的屏蔽。因此,为了绕过域名黑名单检测,黑客们升级了肉鸡的c&c域名手段,基于dga域名的僵尸网络便随之产生。
dga域名生成算法,简单来说就是按照日期或其它随机方式每天在主控端生成大量的随机字符串域名,并选取其中的一些当作c&c域名,而在被控端感染的恶意软件里也运行同一套算法生成这些随机域名并碰撞得到当天可用的c&c域名。当需要发动攻击时将碰撞得到的c&c域名进行注册,便可以建立主控端到被控端下发指令的通道。同时,攻击者可以通过应用速变ip技术使c&c域名和ip快速变化难以捕捉。因此dga域名所具备的强随机性及短时效性会导致传统防护手段无法起作用。
抵御僵尸网络的利器——基于ai的dga域名检测
天融信下一代防火墙(ngfw)内置高级威胁防护模块,基于机器学习、ai检测模型解决传统防火墙静态规则库的弊端。针对dga域名连接,使用循环神经网络算法对海量的正常域名和dga域名进行模型训练,持续优化对dga各大家族的检测率。同时,为了提高对低随机性dga域名的识别率,加入了高随机性的字符组合分析。基于以上技术加持,天融信下一代防火墙实现对dga域名的精准识别,可有效阻断c&c服务器与被控主机的通信,制衡僵尸网络攻击行为。
天融信下一代防火墙融合独立僵木蠕检测模块,提供集僵尸主机识别、木马检测、蠕虫检测等多功能于一体的全流量威胁监测手段。通过ai技术加持,实现dga域名智能检测,进一步加强对僵尸网络的识别能力。同时结合特征匹配、机器学习、虚拟沙盒等技术,对网络流量进行深度解析,能够快速、精准识别网络中已知与未知威胁,使客户网络边界的防御能力得到全面提升。
- 关键词标签:
- 天融信下一代防火墙 僵尸网络 dga 黑客产业链