基于HMM的Domain-Flux恶意域名检测及分析

作     者：郭向民 梁广俊 夏玲玲 GUO Xiangmin;LIANG Guangjun;XIA Lingling

作者机构：江苏警官学院计算机信息与网络安全系南京210031 江苏省电子数据取证分析工程研究中心南京210031 江苏省公安厅数字取证重点实验室南京210031 

基　　金：国家自然科学基金 江苏省高等学校自然科学基金[21KJD520003] 江苏省公安厅科技研究项目[2020KX008] 国家地方联合工程实验室开放课题[KFJJ20200201] 江苏警官学院教育教学改革研究项目[2020A05] 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2021年第12期

页      码：1-8页

摘      要：目前,僵尸网络广泛采用域名生成算法(Domain Generation Algorithm,DGA)生成大量随机域名躲避检测,这种躲避检测的方法已经成为破坏网络安全的主要威胁。因此,研究DGA域名识别方法对于检测恶意程序、打击僵尸网络、保障信息安全具有重要的现实意义。文章设计了基于ELK大数据平台的DGA域名检测分析框架,在充分研究黑名单等现有DGA域名识别方法的基础上,收集域名解析(Domain Name Server,DNS)业务系统的请求查询日志,以DGA域名为识别对象,基于隐式马尔可夫模型(Hidden Markov Model,HMM)对恶意域名进行聚类分析,从而实现对DGA域名的判定,进一步为僵尸网络等网络攻击行为的取证、溯源提供思路。实验结果表明,文章采用的轻量级检测分类器对正常域名和恶意域名的区分效果较好。

主 题 词：网络取证 隐式马尔可夫模型 恶意域名检测 ELK 

学科分类：08[工学] 0839[0839] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.3969/j.issn.1671-1122.2021.12.001

馆 藏 号：203107120...