賈云剛，孫詩(shī)慧，孫嘉偉，孫捷

（1.國(guó)家互聯(lián)網(wǎng)應(yīng)急中心天津分中心，天津300100；2.中國(guó)電子科技集團(tuán)第十五研究所，北京100083；3.中國(guó)科學(xué)院信息工程研究所，北京100093）

0 引言

現(xiàn)代惡意軟件使用域名中繼以傳播惡意軟件、CC服務(wù)器、發(fā)送垃圾郵件、托管詐騙和網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)。構(gòu)建本地域特征分類(lèi)器通常用于檢測(cè)惡意軟件域名。然而，由于局部特征（例如域時(shí)間模式和字符特征）不太穩(wěn)健，特別是在攻擊者可以在不影響現(xiàn)有攻擊的情況下改變他們的字符特征從而毫不費(fèi)力地逃避檢測(cè)。由于DNS的靈活性和可重用性，其已成為攻擊者的關(guān)鍵組件。近年來(lái)出現(xiàn)了各種類(lèi)型的病毒變種浪潮，對(duì)基于域名局部特征甚至基于行為的特征的規(guī)避尤為突出，已經(jīng)出現(xiàn)了逃避DNS局部特征檢測(cè)的網(wǎng)絡(luò)攻擊。尤其是深度學(xué)習(xí)的快速發(fā)展，使得攻擊者甚至有針對(duì)性地利用深度學(xué)習(xí)來(lái)混淆和逃避檢測(cè)。沒(méi)有成功檢測(cè)到這些攻擊也就不足為奇了。然而，當(dāng)我們針對(duì)另一個(gè)變體調(diào)整我們的檢測(cè)策略時(shí)，這些攻擊仍在進(jìn)化以逃避我們的特征檢測(cè)。

基于行為的檢測(cè)不同于構(gòu)建局部域特征的一般方法。雖然攻擊者也可以改變其行為特征來(lái)逃避檢測(cè)，但攻擊者必須個(gè)性化每個(gè)受感染的客戶(hù)端。這種策略極大地限制了攻擊者可用的資源，增加了沉重的成本并損害了他們的利益?，F(xiàn)實(shí)情況是，他們總是會(huì)重用某些資源，從而導(dǎo)致他們的訪(fǎng)問(wèn)或控制行為的關(guān)聯(lián)。但攻擊者仍然狡猾地盡可能地改變其行為特征，例如使用虛假查詢(xún)和客戶(hù)端子分組、一次性查詢(xún)和域通量、隨機(jī)查詢(xún)等以及其他規(guī)避策略。這些規(guī)避方法的共同點(diǎn)之一是降低域名的查詢(xún)率，從而隱藏受感染主機(jī)的查詢(xún)行為。因此，我們認(rèn)為DGA檢測(cè)中低查詢(xún)率場(chǎng)景的覆蓋對(duì)于基于行為的檢測(cè)方法至關(guān)重要。我們利用流量中的時(shí)間相似性（來(lái)自同一源客戶(hù)端的不同域名的共現(xiàn)）和空間相似性（域名被多個(gè)客戶(hù)端訪(fǎng)問(wèn)）的關(guān)聯(lián)規(guī)則提供了一種研究網(wǎng)絡(luò)攻擊的有力方法，它可以進(jìn)一步幫助我們檢測(cè)低查詢(xún)率場(chǎng)景中的惡意域。

1 相關(guān)工作

惡意域名檢測(cè)一直是僵尸網(wǎng)絡(luò)檢測(cè)中的熱門(mén)問(wèn)題。與其他方法相比，DNS流量的檢測(cè)的數(shù)據(jù)量更低，且發(fā)生在攻擊之前，易于預(yù)防，而且DNS的公開(kāi)透明特性和防火墻的穿透特性使得域名成為了攻擊者的首選。過(guò)去幾年已經(jīng)針對(duì)僵尸網(wǎng)絡(luò)提出了大量的研究進(jìn)展。這些研究工作主要分為兩類(lèi)，基于域名特征的檢測(cè)和基于行為特征的檢測(cè)方法。

基于特征的方法通常使用特征工程和機(jī)器學(xué)習(xí)的手段用以檢測(cè)DGA域名。Antonakakis等人[4]提出的Pleiades的DGA僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)通過(guò)檢查NXDo?mains的統(tǒng)計(jì)特征進(jìn)行聚類(lèi)（域名長(zhǎng)度、訪(fǎng)問(wèn)頻率等），然后使用統(tǒng)計(jì)多分類(lèi)模型和隱馬爾可夫模型分別來(lái)標(biāo)記數(shù)據(jù)集和檢測(cè)CC域名。該研究依賴(lài)于域名的詞法特征和結(jié)構(gòu)特征，專(zhuān)用于查找CC通信的域名。Yadav和Reddy[5]提出的方案利用成功解析域名的DNS響應(yīng)和NX響應(yīng)來(lái)檢測(cè)基于DGA僵尸網(wǎng)絡(luò)的C2服務(wù)器IP地址標(biāo)識(shí)的系統(tǒng)。該系統(tǒng)使用成功解析的DNS流量，成功查詢(xún)附近的NX響應(yīng)以及失敗和成功DNS查詢(xún)的熵進(jìn)行檢測(cè)作為特征進(jìn)行檢測(cè)。

基于行為的方法通常使用域名的周期行為特征，組行為特征，域名的共現(xiàn)等網(wǎng)絡(luò)或者主機(jī)的關(guān)聯(lián)行為來(lái)檢測(cè)惡意域名。Jehyun Lee等人[6]提出的GMAD通過(guò)構(gòu)建具有時(shí)間和空間關(guān)聯(lián)的域名旅行圖來(lái)聚類(lèi)相關(guān)聯(lián)的域名，并通過(guò)惡意域名種子區(qū)分良性域名和惡意域名。Pratyusa等人[7]通過(guò)服務(wù)器日志構(gòu)建域名訪(fǎng)問(wèn)的主機(jī)域名二分圖，在該圖上使用新年傳播算法預(yù)測(cè)域名是惡意域名的概率。Issa Khali等人[8]提出了用域名解析出的IP間的共現(xiàn)情況，利用惡意域名種子利用寬松的共現(xiàn)規(guī)則去推理關(guān)聯(lián)域名的惡意概率。

2 實(shí)現(xiàn)

2.1 檢測(cè)模型

我們實(shí)現(xiàn)了FProbe的原型系統(tǒng)，其中包括以下組件模塊：預(yù)處理模塊（Preprocessing）、關(guān)聯(lián)IP矩陣模塊（Associated IP matrix，AIM）、頻繁序列樹(shù)模塊（Frequent sequence tree，F(xiàn)ST）和組分析器模塊（Group analyzer），如圖1所示。

我們?cè)趫D1中簡(jiǎn)要說(shuō)明了FProbe的系統(tǒng)架構(gòu)。關(guān)聯(lián)的IP矩陣和頻繁序列樹(shù)共同完成聚類(lèi)功能。預(yù)處理模塊用于采取一系列過(guò)濾策略來(lái)減少要處理的DNS流量的數(shù)據(jù)規(guī)模，AIM用于從大型IP-IP矩陣中提取關(guān)聯(lián)主機(jī)，F(xiàn)ST模塊用于聚類(lèi)相關(guān)域，組分析器模塊最后使用圖神經(jīng)網(wǎng)絡(luò)方法對(duì)這些同族DGA進(jìn)行分類(lèi)。關(guān)聯(lián)的IP矩陣和頻繁序列樹(shù)共同完成聚類(lèi)功能。

圖1 檢測(cè)模型系統(tǒng)架構(gòu)

進(jìn)一步來(lái)說(shuō)，我們減少了正常用戶(hù)和網(wǎng)絡(luò)活動(dòng)產(chǎn)生的噪音，同時(shí)保留了低查詢(xún)率的可疑的DNS流量。對(duì)于剩余的NX域名，我們使用廣泛用于產(chǎn)品推薦和詞頻共現(xiàn)中的共現(xiàn)矩陣來(lái)聚類(lèi)受感染的主機(jī)。

對(duì)于共現(xiàn)矩陣給定一組關(guān)聯(lián)主機(jī)，F(xiàn)Probe首先收集只涉及關(guān)聯(lián)查詢(xún)的DNS查詢(xún)流，這將大大提高FST挖掘的性能。關(guān)聯(lián)的IP矩陣的每一行都是無(wú)關(guān)的，我們可以并行運(yùn)行后面的FST關(guān)聯(lián)階段。

2.1 急診專(zhuān)科護(hù)士主觀幸福感得分 128名急診專(zhuān)科護(hù)士主觀幸福感得分總分為(70.38±11.86)分，與全國(guó)女性常模(71.0±18.0)分比較差異無(wú)統(tǒng)計(jì)學(xué)意義(t=0.596,P>0.05)。各維度得分：對(duì)健康的擔(dān)心(7.25±2.83)分，精力(17.73±3.41)分，生活的滿(mǎn)足和興趣(3.27±1.17)分，憂(yōu)郁或愉快的心境(17.05±2.92)分，對(duì)情感和行為的控制(12.41±2.37)分，松弛和緊張(15.25±3.99)分。

然后利用寬松關(guān)聯(lián)規(guī)則提取共現(xiàn)的多個(gè)NX域來(lái)識(shí)別所有可疑的相關(guān)AGD（Algorithm Generated Do?mains），縮小可疑NX域的數(shù)量。最后，這里的群組活動(dòng)和特征構(gòu)成了區(qū)分可疑域的特征。組分析器組件利用監(jiān)督學(xué)習(xí)來(lái)區(qū)分AGD組。

2.2 數(shù)據(jù)預(yù)處理

首先，我們過(guò)濾掉多個(gè)客戶(hù)端請(qǐng)求的DNS流量中的熱門(mén)域名。請(qǐng)求域名的客戶(hù)端越多，可疑的可能性就越小。通過(guò)這種方式，可以過(guò)濾掉大量的公共服務(wù)域、云服務(wù)器和流行的內(nèi)容交付網(wǎng)絡(luò)（CDN）。此外，我們還使用Alexa前100萬(wàn)個(gè)域作為白名單，以減少被動(dòng)DNS數(shù)據(jù)量。對(duì)于剩余的數(shù)據(jù)，我們過(guò)濾掉流行軟件或本地硬件生成的一次性域名，例如以“tracker”結(jié)尾的BitTorrent域名、以“in.arpa”結(jié)尾的路由器域名、以“McAfee”結(jié)尾等眾多一次性域名。其次，NX域名可以由DGA惡意軟件和良性主機(jī)生成，因此我們消除了與可疑NXDomains無(wú)關(guān)的噪音，例如濫用DNS、錯(cuò)誤配置DNS。噪聲濾波器階段不僅減少了計(jì)算時(shí)間，而且提高了False Positive（FP）和False Negative（FN）精度。

2.3 關(guān)聯(lián)IP矩陣

在預(yù)處理階段之后，我們?nèi)匀恍枰^(guò)濾掉與DGA惡意軟件感染域無(wú)關(guān)的NXDomains，這是由每個(gè)NX?Domains之間的客戶(hù)端共現(xiàn)度（CCD）決定的。

CCD使用源客戶(hù)端的相似度進(jìn)行估計(jì)，源客戶(hù)端定義為關(guān)聯(lián)IP矩陣的元素值。

相關(guān)的IP矩陣如圖2所示。

圖2 IP矩陣

關(guān)聯(lián)的IP矩陣不同于360netlab的共現(xiàn)矩陣的方法。我們將共現(xiàn)矩陣用于不同的目的，我們使用該矩陣查找關(guān)聯(lián)主機(jī)，360netlab使用矩陣直接查找關(guān)聯(lián)域。在360netlab的方法中，他們計(jì)算域與矩陣的相似度，但是存在一個(gè)問(wèn)題，他們使用的權(quán)重閾值不小于3，但這可能被攻擊者利用，通過(guò)規(guī)避技術(shù)來(lái)逃避檢測(cè)，例如“客戶(hù)端子分組”[2]和一次生成域[1]，可通過(guò)低查詢(xún)率繞過(guò)此域相似性聚類(lèi)。我們不計(jì)算域的相似度，而是使用矩陣的計(jì)算原理來(lái)計(jì)算查詢(xún)客戶(hù)端的相似度。一個(gè)域名的查詢(xún)次數(shù)可以通過(guò)低查詢(xún)率規(guī)避，但是源客戶(hù)端的請(qǐng)求很難隱藏，如圖3所示[3]，在360netlab的矩陣，它的每個(gè)元素的權(quán)重為2，小于閾值3，但是，我們方法中源客戶(hù)端的相似度，它的權(quán)重為4。

圖3 一次生成域

AIM模塊將最小化必須同時(shí)分析的DNS查詢(xún)數(shù)據(jù)。域IP矩陣A定義為布爾矩陣A，Hosts和NX域名之間的查詢(xún)關(guān)系以布爾矩陣中的一行布爾表達(dá)式來(lái)表示。

從計(jì)算原理可以看出，矩陣B的元素值為兩個(gè)源客戶(hù)端之間NX域的重合數(shù)。因此，基于域的重合數(shù)，我們可以很容易地得到IP對(duì)等點(diǎn)的相似度，可以從這個(gè)相似度矩陣中提取關(guān)聯(lián)的客戶(hù)端。

關(guān)聯(lián)IP矩陣的另一個(gè)優(yōu)點(diǎn)是每一行的關(guān)聯(lián)IP與其他行無(wú)關(guān)，每一行都包含了所有關(guān)聯(lián)關(guān)系，所以我們可以很容易地并行處理。另外，盡管ISP流量中的源客戶(hù)端和域的數(shù)量非常大，但是網(wǎng)絡(luò)中NX域名的重疊率很低，所以實(shí)際并行處理的關(guān)聯(lián)域名請(qǐng)求流的數(shù)量是有限的。

2.4 頻繁序列樹(shù)

該模塊的目的是提取共現(xiàn)伴隨關(guān)系，特別是檢測(cè)由客戶(hù)端子分組逃避行為（低查詢(xún)率）引起的弱關(guān)聯(lián)關(guān)系。FST使用樹(shù)表示將域表示為節(jié)點(diǎn)，兩個(gè)節(jié)點(diǎn)之間的邊用于表示時(shí)間共現(xiàn)關(guān)聯(lián)。時(shí)間共現(xiàn)是源客戶(hù)端查詢(xún)列表中的順序訪(fǎng)問(wèn)關(guān)系。我們將客戶(hù)端的查詢(xún)列表作為一個(gè)整體處理，使用源客戶(hù)端的整個(gè)域訪(fǎng)問(wèn)順序作為節(jié)點(diǎn)關(guān)系，而不是僅僅使用兩個(gè)域之間的共現(xiàn)關(guān)系。因此，在域關(guān)系切割階段，我們不僅切割樹(shù)的邊緣以過(guò)濾出查詢(xún)相似度低的域名，而且還重構(gòu)樹(shù)以保留來(lái)自同一來(lái)源的域的寬松關(guān)系。特別是，我們會(huì)重新連接一組請(qǐng)求中的斷邊（例如圖4中的虛線(xiàn)）。

例如，在圖4中，我們將數(shù)據(jù)流2和數(shù)據(jù)流3作為分支連接到數(shù)據(jù)流1的關(guān)聯(lián)節(jié)點(diǎn)的骨干，例如，在圖4中，我們將數(shù)據(jù)流2和數(shù)據(jù)流3作為分支連接到數(shù)據(jù)流1的關(guān)聯(lián)節(jié)點(diǎn)的骨干上，根據(jù)前面提到的松弛關(guān)聯(lián)規(guī)則，刪除每個(gè)數(shù)據(jù)流中客戶(hù)端相似率低的節(jié)點(diǎn)，并將同一流中的節(jié)點(diǎn)之間的斷邊連接為順序關(guān)系邊。

圖4 頻繁序列樹(shù)

客戶(hù)端相似度是衡量具有Jaccard相似度的域之間關(guān)聯(lián)性的一個(gè)權(quán)值，已被應(yīng)用于包括安全上下文在內(nèi)的許多應(yīng)用中。這里的相似度定義為首先第一步是從AIM的每一行構(gòu)造FST，第二步在此樹(shù)結(jié)構(gòu)上迭代此過(guò)程，累加所有的樹(shù)結(jié)構(gòu)。

2.5 組行為分析

組分析器處理是從域名組中確定AGDS。根據(jù)DNS流量上的群組行為活動(dòng)的公共屬性來(lái)評(píng)估屬于FST集合的域名。通過(guò)對(duì)群體行為活動(dòng)特征的提取，確定提取的FST關(guān)聯(lián)集合是否是基于DGA的僵尸網(wǎng)絡(luò)。使用圖神經(jīng)網(wǎng)絡(luò)進(jìn)行有監(jiān)督的學(xué)習(xí)分類(lèi)，將每個(gè)群集的域名作為圖卷積網(wǎng)絡(luò)的節(jié)點(diǎn)，域名間的關(guān)系作為圖卷積網(wǎng)絡(luò)的邊?；诮┦W(wǎng)絡(luò)的群體行為分析，我們定義了三種關(guān)系特征來(lái)檢測(cè)每個(gè)子圖內(nèi)的行為一致性：①組內(nèi)訪(fǎng)問(wèn)特征關(guān)系；②組內(nèi)結(jié)構(gòu)特征；③組內(nèi)語(yǔ)言特征。

在訪(fǎng)問(wèn)特征的一致性方面，考慮到正常域更容易以隨機(jī)的時(shí)間間隔分布，而惡意軟件的訪(fǎng)問(wèn)更容易被規(guī)則行為觸發(fā)，我們使用序列域間隔時(shí)間和查詢(xún)計(jì)數(shù)的間隔時(shí)間作為圖神經(jīng)網(wǎng)絡(luò)邊的關(guān)聯(lián)權(quán)重。

我們還使用查詢(xún)次數(shù)的一致性來(lái)檢測(cè)其組活動(dòng)行為，因?yàn)檎Ｓ蚋赡芊植荚陔S機(jī)查詢(xún)中，而惡意軟件的訪(fǎng)問(wèn)更容易被組行為活動(dòng)觸發(fā)。

我們還利用域名長(zhǎng)度和子域長(zhǎng)度作為結(jié)構(gòu)一致性的特征，字母數(shù)字字符的比例，聚類(lèi)域中重復(fù)字符的比例作為語(yǔ)言一致性的特征，以一元、二元、三元分布特征作為統(tǒng)計(jì)一致性的特征，共使用7個(gè)特征，分別代表每個(gè)簇的通達(dá)特征分布、結(jié)構(gòu)特征分布、語(yǔ)言特征分布和統(tǒng)計(jì)特征分布。然后使用圖神經(jīng)網(wǎng)絡(luò)方法來(lái)區(qū)分每個(gè)集群是否是惡意的。在經(jīng)過(guò)前期對(duì)于關(guān)聯(lián)惡意域名的過(guò)濾和提取，數(shù)據(jù)的規(guī)模適用于圖卷積網(wǎng)絡(luò)。

圖卷積神經(jīng)網(wǎng)絡(luò)（CNN）中的卷積本質(zhì)上是一個(gè)共享參數(shù)濾波器（核），通過(guò)計(jì)算中心點(diǎn)和鄰近點(diǎn)的加權(quán)和來(lái)提取空間特征。在給定屬性無(wú)向圖G=（V，E），其中V是一組大小為M的節(jié)點(diǎn)，E是一組邊。還假設(shè)X∈RM×N是具有每個(gè)節(jié)點(diǎn)v∈V的N維屬性的特征矩陣，而A∈RM×N是Ai,j=ai,j的鄰接矩陣，如果存在具有相應(yīng)權(quán)重ai,j的邊e=，否則Ai,j=0。多層GCN的分層傳播：

其中D-1/2A~D-1/2是對(duì)稱(chēng)歸一化拉普拉斯矩陣，A~=A+I~，I是M維恒等矩陣，D是對(duì)角度矩陣。W（L）是層l的權(quán)重矩陣，H（L）是層l的輸入激活，H（0）=X。σ表示激活函數(shù)（例如，RELU（.）=max（0，.））。只考慮2層GCN時(shí)，正向模型變?yōu)橐韵滦问剑?/p>

這里，W(0)∈RM×H是隱含層具有H特征映射的輸入-隱含權(quán)重矩陣。W(1)∈RH×F是假設(shè)輸出具有F個(gè)類(lèi)別的隱藏到輸出權(quán)重矩陣。Softmax激活函數(shù)將向量x的每個(gè)元素范圍定為[0，1]，并將所有元素的總和定義為1

3 實(shí)驗(yàn)結(jié)果

3.1 檢測(cè)準(zhǔn)確率

對(duì)于每個(gè)時(shí)間窗口內(nèi)的數(shù)據(jù)集，F(xiàn)Probe的方法都顯示出了超過(guò)96%的TPR，并且平均誤報(bào)率低于2%。根據(jù)表4，F(xiàn)Probe在每個(gè)小時(shí)的數(shù)據(jù)集中最多時(shí)有1.3%假陽(yáng)性的錯(cuò)誤檢測(cè)。該假陽(yáng)性產(chǎn)生的主要原因是由于Alexa域名的白名單或者公共服務(wù)器引起的，某些合法域名被用于惡意活動(dòng)，導(dǎo)致與該域名關(guān)聯(lián)的其他域名被錯(cuò)誤地認(rèn)為是惡意域名。但是客戶(hù)端共享率能夠盡可能多地明顯阻斷這種關(guān)聯(lián)。

最后，將我們的方案與公開(kāi)可用的FANCI進(jìn)行了比較，它設(shè)計(jì)了3個(gè)方面，總共21個(gè)特征對(duì)NXDo?mains進(jìn)行特征提取，通過(guò)隨機(jī)森林分類(lèi)器將NXDo?mains分類(lèi)為DGA域名或良性域名。我們?cè)跀?shù)據(jù)集上應(yīng)用FANCI的檢測(cè)方法，結(jié)果如表1所示。兩個(gè)方案都取得了很好的結(jié)果。但是FANCI僅用了域名的本地特征，我們的方案與FANCI相比，我們的方法不僅在組內(nèi)關(guān)聯(lián)特征上進(jìn)行了分類(lèi)，更在結(jié)構(gòu)特征上構(gòu)建了時(shí)間依賴(lài)性特征（順序訪(fǎng)問(wèn)關(guān)系）和空間依賴(lài)性（NX?Domains的共現(xiàn)關(guān)系）。顯然，我們的準(zhǔn)確率明顯優(yōu)于FANCI，達(dá)到了很好的效果。

3.2 隱蔽DGA檢測(cè)

檢測(cè)惡意軟件的一個(gè)重大挑戰(zhàn)就是惡意軟件的逃避行為。多域名冗余、隨機(jī)間隔活動(dòng)、客戶(hù)端子分組等惡意域名逃避行為為惡意軟件的逃避檢測(cè)提供了便利。這些方法都指向了低查詢(xún)率的逃避方案，因此檢測(cè)方法應(yīng)該能夠處理這種低查詢(xún)率場(chǎng)景下的檢測(cè)。我們將FProbe與FANCI、GMAD、BotGAD的低查詢(xún)率性能進(jìn)行比較。BotGAD在惡意軟件DNS查詢(xún)中使用時(shí)間同步DNS查詢(xún)，以及在查詢(xún)客戶(hù)端集之間的相似性并考慮了幾種規(guī)避技術(shù)，例如休眠和隨機(jī)間隔活動(dòng)，它還考慮了詞匯相似性和網(wǎng)絡(luò)IP地址特征檢測(cè)，但是在詞匯相似性和網(wǎng)絡(luò)相似性差異很大的逃避行為中，其檢測(cè)準(zhǔn)確度較差。GMAD使用域名旅行考慮了每?jī)蓚€(gè)訪(fǎng)問(wèn)域名之間的時(shí)間順序關(guān)系和空間上共同訪(fǎng)問(wèn)的共現(xiàn)關(guān)系，但是其只考慮域名兩兩之間的關(guān)系，沒(méi)有考慮域名在其源客戶(hù)端的整條訪(fǎng)問(wèn)流之間的關(guān)聯(lián)關(guān)系，會(huì)導(dǎo)致某些關(guān)聯(lián)域名之間的聯(lián)系被切割，而且由于其是使用已知惡意域名去定位惡意域名組，因此惡意域名種子的選擇影響非常大。FProbe與GMAD差異的區(qū)別主要是，F(xiàn)Probe對(duì)于被相同惡意軟件感染的低查詢(xún)率的源客戶(hù)端的聚類(lèi)能力使得其能夠快速定位關(guān)聯(lián)域名，BotGAD檢測(cè)不到低訪(fǎng)問(wèn)率的組活動(dòng)，而GMAD也具有低查詢(xún)率的檢測(cè)能力，但是由于單一的查詢(xún)依賴(lài)關(guān)系會(huì)丟失分組中的部分域名見(jiàn)表1。

表1 實(shí)驗(yàn)結(jié)果

4 結(jié)語(yǔ)

攻擊者為了逃避檢測(cè)系統(tǒng)實(shí)施了各種逃避方法，不止從域名特征上進(jìn)行逃避，還從行為特征上進(jìn)行逃避，越來(lái)越智能的惡意軟件對(duì)檢測(cè)系統(tǒng)提出了挑戰(zhàn)，在本文中，我們提出了一種名為FProbe的僵尸網(wǎng)絡(luò)DGA檢測(cè)方案，該方案使用關(guān)聯(lián)矩陣發(fā)現(xiàn)有關(guān)聯(lián)的受感染主機(jī)，然后使用頻繁序列樹(shù)聚合有時(shí)間訪(fǎng)問(wèn)關(guān)聯(lián)的域名和空間上共現(xiàn)的域名，最后以監(jiān)督的方法使用共同的組行為活動(dòng)區(qū)分僵尸網(wǎng)絡(luò)組和良性域名組，關(guān)聯(lián)矩陣和樹(shù)聚類(lèi)整形的功能同時(shí)保證了低查詢(xún)率惡意域名的檢測(cè)能力。我們?cè)谛@網(wǎng)數(shù)據(jù)集中實(shí)施了FProbe，其結(jié)果表明我們的方案具有更高的精度和可擴(kuò)展的能力。我們的方法將有助于更有效地防止僵尸網(wǎng)絡(luò)的感染造成的損害。