DGA域名检测

一、DGA域名原理

• 僵尸网络(Botnet)：互联网上在蠕虫、木马、后门工具等，传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方法。
• DNS(Domain Name System) ：基于 UDP 的应用层协议。主要用途是将一个域名解析成 IP 地址，这个过程叫做域名解析 (Name resolution)。
• 域名生成算法(Domain Generation Algorithm)：是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。

　　僵尸网络&恶意软等程序，随着检测手段的更新(在早期，僵尸主机通产采用轮询的方法访问硬编码的C&C域名或IP来访问服务器获取域名，但是这种方式在安全人员进行逆向之后会得到有效的屏蔽)，黑客们也升级了肉鸡的C&C手段；用DGA算法在终端生成大量备选域名，而攻击者与恶意软件运行同一套DGA算法，生成相同的备选域名列表。

　　当需要发动攻击的时候，选择其中少量进行注册，便可以建立通信，并且可以对注册的域名应用速变IP技术，快速变换IP，从而域名和IP都可以进行快速变化。目前，黑客攻击者为了防止恶意域名被发现，会使用Domain Flux或者IP Flux来快速生成大量的恶意域名。(Domain Flux是通过不断变换域名，指向同一个IP，IP Flux是只有一个域名，不断变换IP，一个域名可以使用多个IP)。

　　很显然，在这种方式下，传统基于黑名单的防护手段无法起作用，一方面，黑名单的更新速度远远赶不上DGA域名的生成速度，另一方面，防御者必须阻断所有的DGA域名才能阻断C2通信，因此，DGA域名的使用使得攻击容易，防守困难。

二、DGA域名分类

DGA算法由两部分构成，种子（算法输入）和算法，可以根据种子和算法对DGA域名进行分类

种子分类：

1.基于时间的种子（Time dependence）。DGA算法将会使用时间信息作为输入，如：感染主机的系统时间，http响应的时间等。

2.是否具有确定性（Determinism）。主流的DGA算法的输入是确定的，因此AGD可以被提前计算，但是也有一些DGA算法的输入是不确定的，如：Bedep[4]以欧洲中央银行每天发布的外汇参考汇率作为种子，Torpig[5]用twitter的关键词作为种子，只有在确定时间窗口内注册域名才能生效。

算法分类：

现有DGA生成算法一般可以分为如下4类：

1.基于算术。该类型算法会生成一组可用ASCII编码表示的值，从而构成DGA域名，流行度最高。

2.基于哈希。用哈希值的16进制表示产生DGA域名，被使用的哈希算法常有：MD5，SHA256。

3.基于词典。该方式会从专有词典中挑选单词进行组合，减少域名字符上的随机性，迷惑性更强，字典内嵌在恶意程序中或者从公有服务中提取。

4.基于排列组合。对一个初始域名进行字符上的排列组合。

三、DGA域名存活时间

DGA域名的存活时间一般较短，大部分域名的存活时间为1-7天

四、检测方法

朴素贝叶斯：

NB入门：https://www.yanxishe.com/TextTranslation/1301

LSTM：

【参考】：

文献：

https://www.secrss.com/articles/14369

https://github.com/360netlab/DGA

DGA数据：

https://osint.bambenekconsulting.com/feeds/

https://data.netlab.360.com/dga/

http://s3.amazonaws.com/alexa-static/top-1m.csv.zip

LSTM https://github.com/endgameinc/dga_predict

CNN https://twitter.com/keeghin

NB https://www.cnblogs.com/feffery/p/8954959.html