近年來，域名生成算法(DGA)技術(shù)日漸成熟，已被黑客組織廣泛采用，如2020年全球性SolarWinds供應(yīng)鏈攻擊的后門軟件就植入了DGA域名算法；2020年“永恒之藍(lán)下載器木馬”更新版本增加了DGA域名攻擊。

在攻擊活動中，黑客與目標(biāo)主機(jī)之間建立C&C通信是重要環(huán)節(jié)。以往采用在木馬軟件中直接寫入指定域名或IP地址的方式實(shí)現(xiàn)僵尸網(wǎng)絡(luò)C&C通信，這種方式隱秘性差，通信很容易被攔截阻斷。而DGA的出現(xiàn)則改變了這種狀況，黑客在木馬中植入DGA，木馬在目標(biāo)主機(jī)上運(yùn)行會生成一系列偽隨機(jī)域名序列，依序不斷向DNS服務(wù)器發(fā)起查詢，直到獲得有效IP響應(yīng)，成功使目標(biāo)主機(jī)受控加入僵尸網(wǎng)絡(luò)。

當(dāng)前DGA惡意域名在檢測上主要面臨以下問題：

DGA域名生成算法逆向難，破解難度高；

隱秘性高，能夠逃避基于規(guī)則或黑名單的檢測；

現(xiàn)有的檢測手段普遍存在較高的誤報(bào)率、漏報(bào)率。

正因?yàn)镈GA惡意域名在檢測上難度較大，所以被黑客組織廣泛采用，已成為網(wǎng)絡(luò)威脅中難以擊斃的“敵人”！

面對DGA惡意域名狙擊難的問題，天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)（簡稱TopTVD，俗稱“九合一探針”）采用AI技術(shù)做為武器，精準(zhǔn)狙擊“敵人”！

繞過DGA域名算法破解難題

“九合一探針”采用AI深度學(xué)習(xí)技術(shù)中的循環(huán)神經(jīng)網(wǎng)絡(luò) (RNN)，對海量惡意域名樣本充分訓(xùn)練，通過生成檢測模型來識別網(wǎng)絡(luò)中偽隨機(jī)域名，解決DGA域名算法逆向破解難題。

狙擊隱秘性惡意域名

RNN是一種深度神經(jīng)網(wǎng)絡(luò)模型，相比傳統(tǒng)機(jī)器學(xué)習(xí)模型，RNN模型具備隱藏層和節(jié)點(diǎn)更多的特性，更易獲取特征之間隱藏的共性，幫助“九合一探針”對隱秘性高的DGA惡意域名進(jìn)行深入檢測。

精細(xì)分類提升命中率

RNN具有自動提取樣本特征的能力，對于人工不易區(qū)分的隨機(jī)字符串及有意義的字符串，RNN可挖掘其內(nèi)在的字符分布統(tǒng)計(jì)特征，將傳統(tǒng)方法的分類精度大幅提升。下圖為某實(shí)際項(xiàng)目應(yīng)用的測試數(shù)據(jù)，使用同一測試域名樣本，RNN與傳統(tǒng)機(jī)器學(xué)習(xí)的檢測成果相比，RNN檢測率高，誤報(bào)率、漏報(bào)率低。

在僵尸網(wǎng)絡(luò)檢測上，“九合一探針”除了采用AI技術(shù)，還具有特征匹配、異常行為分析以及隱蔽通信隧道識別等多種檢測方式，有效幫助客戶排查網(wǎng)絡(luò)中的木馬擴(kuò)散、肉雞、挖礦、勒索、被惡意監(jiān)視等威脅，遏抑DDoS攻擊，為APT攻擊跟蹤挖掘提供多維線索，充分保障客戶網(wǎng)絡(luò)安全。