近年來，僵尸網(wǎng)絡(luò)已成為黑客產(chǎn)業(yè)鏈中的一個重要環(huán)節(jié)：攻擊者通過各種途徑傳播僵尸程序感染大量主機，被感染的主機接收攻擊者指令，組成一個僵尸網(wǎng)絡(luò)。眾多計算機在不知不覺中如同僵尸群一樣被驅(qū)趕和指揮，成為被黑客利用的工具。一方面，被控主機被迫從事各種需要耗費網(wǎng)絡(luò)資源的活動，使自身的網(wǎng)絡(luò)性能受到嚴(yán)重影響；另一方面，攻擊者利用僵尸網(wǎng)絡(luò)中大量的肉雞對外發(fā)起各種各樣的攻擊行為，導(dǎo)致基礎(chǔ)網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，甚至帶來經(jīng)濟損失。

僵尸網(wǎng)絡(luò)關(guān)鍵武器——DGA域名生成算法

僵尸網(wǎng)絡(luò)中用來控制主機并負(fù)責(zé)處理信息、下發(fā)任務(wù)的中心機器稱為C&C服務(wù)器（Control & Command）。在早期，主控端通常采用輪詢固定C&C域名或IP的方法來獲取域名，但這種固定域名IP的方式在安全人員進行逆向排查之后可得到有效的屏蔽。因此，為了繞過域名黑名單檢測，黑客們升級了肉雞的C&C域名手段，基于DGA域名的僵尸網(wǎng)絡(luò)便隨之產(chǎn)生。

DGA域名生成算法，簡單來說就是按照日期或其它隨機方式每天在主控端生成大量的隨機字符串域名，并選取其中的一些當(dāng)作C&C域名，而在被控端感染的惡意軟件里也運行同一套算法生成這些隨機域名并碰撞得到當(dāng)天可用的C&C域名。當(dāng)需要發(fā)動攻擊時將碰撞得到的C&C域名進行注冊，便可以建立主控端到被控端下發(fā)指令的通道。同時，攻擊者可以通過應(yīng)用速變IP技術(shù)使C&C域名和IP快速變化難以捕捉。因此DGA域名所具備的強隨機性及短時效性會導(dǎo)致傳統(tǒng)防護手段無法起作用。

抵御僵尸網(wǎng)絡(luò)的利器——基于AI的DGA域名檢測

天融信下一代防火墻（NGFW）內(nèi)置高級威脅防護模塊，基于機器學(xué)習(xí)、AI檢測模型解決傳統(tǒng)防火墻靜態(tài)規(guī)則庫的弊端。針對DGA域名連接，使用循環(huán)神經(jīng)網(wǎng)絡(luò)算法對海量的正常域名和DGA域名進行模型訓(xùn)練，持續(xù)優(yōu)化對DGA各大家族的檢測率。同時，為了提高對低隨機性DGA域名的識別率，加入了高隨機性的字符組合分析。基于以上技術(shù)加持，天融信下一代防火墻實現(xiàn)對DGA域名的精準(zhǔn)識別，可有效阻斷C&C服務(wù)器與被控主機的通信，制衡僵尸網(wǎng)絡(luò)攻擊行為。

天融信下一代防火墻融合獨立僵木蠕檢測模塊，提供集僵尸主機識別、木馬檢測、蠕蟲檢測等多功能于一體的全流量威脅監(jiān)測手段。通過AI技術(shù)加持，實現(xiàn)DGA域名智能檢測，進一步加強對僵尸網(wǎng)絡(luò)的識別能力。同時結(jié)合特征匹配、機器學(xué)習(xí)、虛擬沙盒等技術(shù)，對網(wǎng)絡(luò)流量進行深度解析，能夠快速、精準(zhǔn)識別網(wǎng)絡(luò)中已知與未知威脅，使客戶網(wǎng)絡(luò)邊界的防御能力得到全面提升。