來(lái)源：《Detecting APT Malware Infections Based　on Malicious DNS and Traffic Analysis》津辩，SPECIAL SECTION ON BIG DATA FOR GREEN COMMUNICATIONS AND COMPUTING膊畴。清華大學(xué)

摘要：高級(jí)持久威脅(APT)是對(duì)互聯(lián)網(wǎng)的嚴(yán)重威脅盛龄。借助APT惡意軟件疲牵，攻擊者可以遠(yuǎn)程控制受感染的機(jī)器并竊取敏感信息退子。DNS是流行的惡意軟件用于定位命令和控制(C&C)服務(wù)器的常用方式螟碎。在本文中鹉勒，我們提出了一種新的系統(tǒng)，該系統(tǒng)放置在網(wǎng)絡(luò)出口點(diǎn)上珍逸，旨在有效地檢測(cè)基于惡意DNS和流量分析的APT惡意軟件感染逐虚。該系統(tǒng)使用惡意的DNS分析技術(shù)檢測(cè)可疑的APT惡意軟件C&C域，然后利用基于簽名的基于異常的檢測(cè)技術(shù)對(duì)相應(yīng)可疑IP的流量進(jìn)行分析谆膳。我們提取了14個(gè)基于大數(shù)據(jù)的特性叭爱，以描述與惡意軟件相關(guān)的DNS的不同屬性，以及它們被查詢的方式漱病，我們還定義了網(wǎng)絡(luò)流量特性买雾，可以識(shí)別遠(yuǎn)程控制的受損害客戶的流量。我們建立了一個(gè)聲譽(yù)引擎來(lái)計(jì)算一個(gè)IP地址的聲譽(yù)分?jǐn)?shù)使用這些特征向量在一起杨帽。我們的實(shí)驗(yàn)在一個(gè)大型的地方機(jī)構(gòu)網(wǎng)絡(luò)上進(jìn)行了兩個(gè)月漓穿，所有的功能都是用大數(shù)據(jù)進(jìn)行研究的，其中包括了4億個(gè)DNS查詢注盈。我們的安全措施不僅可以大大減少需要記錄和分析的網(wǎng)絡(luò)流量的數(shù)量晃危，而且還可以提高系統(tǒng)的可持續(xù)性。

一老客、引言

目前僚饭，互聯(lián)網(wǎng)上的高級(jí)持續(xù)威脅(APT)攻擊正在增加;不幸的是，它們很難被發(fā)現(xiàn)胧砰。它是一套秘密的鳍鸵、持續(xù)不斷的黑客過(guò)程，目標(biāo)是具有高價(jià)值信息的特定實(shí)體尉间，如政府偿乖、軍隊(duì)和金融行業(yè)。APT攻擊的意圖是竊取數(shù)據(jù)乌妒，而不是對(duì)網(wǎng)絡(luò)或組織造成損害汹想。一旦侵入網(wǎng)絡(luò)，攻擊者就會(huì)在被感染的機(jī)器上安裝APT惡意軟件撤蚊。例如古掏，惡意軟件，例如特洛伊木馬或后門侦啸，是為反病毒軟件和目標(biāo)網(wǎng)絡(luò)的防火墻而量身定做的槽唾。它不僅用于在APT攻擊中遠(yuǎn)程控制被攻擊的機(jī)器丧枪，還用于在較長(zhǎng)時(shí)間內(nèi)從受感染的主機(jī)竊取敏感信息。APT惡意軟件可以使用多態(tài)代碼來(lái)規(guī)避反病毒軟件庞萍，并使用允許端口上的協(xié)議繞過(guò)防火墻燎悍。

DNS是Internet的重要組成部分冶匹，它是負(fù)責(zé)將域名解析為相應(yīng)IP地址的協(xié)議。不幸的是，除了用于幫助定位web服務(wù)器和郵件主機(jī)的良性使用之外斜脂，域名也容易受到惡意使用增热。為了遠(yuǎn)程控制被感染的機(jī)器堪澎，攻擊者需要建立一個(gè)命令和控制通道麦萤。受感染機(jī)器與攻擊者之間的命令和控制通道負(fù)責(zé)發(fā)送命令和傳輸數(shù)據(jù)。大多數(shù)惡意軟件本鸣，例如木馬疫衩、后門和其他遠(yuǎn)程訪問(wèn)工具，利用域名來(lái)定位他們的命令和控制(C&C)服務(wù)器荣德，并與攻擊者進(jìn)行通信闷煤。例如，著名的惡意軟件如Gh0st涮瞻、PCShare和毒葛鲤拿，都指示攻擊者首先創(chuàng)建域和端口來(lái)定位命令和控制服務(wù)器。

在APT攻擊中饲宛，惡意軟件需要保持與C&C服務(wù)器的持久連接皆愉。攻擊者廣泛使用DNS來(lái)定位惡意軟件的命令和控制服務(wù)器。因?yàn)槿绻粽邔&C服務(wù)器的IP硬編碼到惡意軟件二進(jìn)制文件中艇抠，就會(huì)導(dǎo)致無(wú)法恢復(fù)的某種故障。一旦C&C服務(wù)器宕機(jī)或IP地址被檢測(cè)到久锥，被入侵的機(jī)器就會(huì)脫離攻擊者的控制家淤。另一個(gè)原因是，為了隱藏真正的攻擊源瑟由，攻擊者經(jīng)常使用他們?cè)诓煌瑖?guó)家和地區(qū)控制或管理的服務(wù)器作為代理絮重。由于使用域名稱可以靈活地更改惡意軟件C&C服務(wù)器的IP地址，并遷移C&C服務(wù)器歹苦，因此它可以幫助攻擊者更容易地隱藏代理服務(wù)器背后的真實(shí)攻擊源青伤。

通過(guò)分析虛擬機(jī)中的大量惡意軟件樣本，我們發(fā)現(xiàn)木馬等遠(yuǎn)程訪問(wèn)工具(RAT)等惡意軟件經(jīng)常使用DNS特別是動(dòng)態(tài)DNS來(lái)定位命令和控制服務(wù)器殴瘦。動(dòng)態(tài)DNS是一種可以實(shí)時(shí)更新名稱服務(wù)器的方法狠角。動(dòng)態(tài)DNS提供者擁有許多現(xiàn)有的2LD域。用戶只需注冊(cè)一個(gè)新的3LD子域蚪腋，并將IP地址映射到注冊(cè)的新動(dòng)態(tài)域名丰歌。一個(gè)未注冊(cè)的新的3LD子域名可以很容易注冊(cè)姨蟋。對(duì)于像特洛伊木馬這樣的惡意軟件，DDNS是一種天生的適合立帖。動(dòng)態(tài)DNS的主要便利是眼溶，用戶可以隨時(shí)更改域以指向新的IP地址。有大量的動(dòng)態(tài)DNS提供商晓勇，例如堂飞，no - ip和DynDNS，且大多數(shù)都是免費(fèi)的绑咱。

在本文中酝静，我們的目標(biāo)是檢測(cè)APT惡意軟件，它依賴于DNS來(lái)定位命令和控制服務(wù)器羡玛。以往的研究通過(guò)對(duì)DNS流量的分析來(lái)研究如何檢測(cè)僵尸網(wǎng)絡(luò)(見(jiàn)[1]-[3])别智。這些研究集中于檢測(cè)惡意流量服務(wù)或利用域生成算法(DGA)的機(jī)器人。惡意流量服務(wù)與內(nèi)容傳輸網(wǎng)絡(luò)(CDN)服務(wù)類似稼稿。它利用了與CDN相同的理論薄榛。CDN是加速網(wǎng)站內(nèi)容交付和減少web服務(wù)器滯后的常用方法。它是一個(gè)由許多不同國(guó)家和地區(qū)的機(jī)器組成的網(wǎng)絡(luò)让歼。每當(dāng)用戶向CDN網(wǎng)絡(luò)的一部分web服務(wù)器發(fā)送請(qǐng)求時(shí)敞恋，最近的服務(wù)器將響應(yīng)網(wǎng)站訪問(wèn)者。CDN是加速web服務(wù)器內(nèi)容傳遞的有效方法谋右。惡意流量服務(wù)是僵尸網(wǎng)絡(luò)使用的一種DNS技術(shù)硬猫。內(nèi)容傳遞網(wǎng)絡(luò)與惡意流量網(wǎng)絡(luò)的區(qū)別在于，CDN由大量合法服務(wù)器組成改执，而惡意流量網(wǎng)絡(luò)由大量受感染的機(jī)器組成啸蜜。Conficker[4]和Kraken是最近利用惡意流量的僵尸網(wǎng)絡(luò)，因?yàn)樗鼘?duì)探測(cè)和發(fā)現(xiàn)更有抵抗力辈挂。通過(guò)使用惡意流量服務(wù)（ malicious flux service）衬横，可以減少發(fā)現(xiàn)和刪除僵尸網(wǎng)絡(luò)的機(jī)會(huì)。

域生成算法(DGA)可用于生成大量的域名[5]终蒂。它被許多惡意軟件和僵尸網(wǎng)絡(luò)所推廣蜂林，比如Srizbi bots[6]和Conficker蠕蟲[4]。受感染的機(jī)器每天都會(huì)產(chǎn)生大量的域名拇泣。例如噪叙，Conficker蠕蟲每天生成5萬(wàn)個(gè)域名用于與C&C服務(wù)器通信。C&C服務(wù)器的域名是從域名列表中隨機(jī)選擇的霉翔。

APT的惡意軟件與上面提到的僵尸和蠕蟲非常不同睁蕾。APT惡意軟件的主要目的是遠(yuǎn)程控制機(jī)器和竊取機(jī)密數(shù)據(jù)，而不是發(fā)起拒絕服務(wù)攻擊早龟，發(fā)送垃圾郵件或造成損害惫霸。它需要在長(zhǎng)時(shí)間的操作過(guò)程中保持高度的潛行性猫缭。例如，在那些機(jī)器人和蠕蟲的例子中壹店，攻擊者需要使用命令和控制服務(wù)器來(lái)遠(yuǎn)程控制數(shù)千個(gè)受感染的主機(jī)猜丹。但是APT攻擊者不使用相同的C&C服務(wù)器遠(yuǎn)程控制這么多受感染的終端用戶機(jī)器，因?yàn)檫@樣會(huì)增加暴露的風(fēng)險(xiǎn)硅卢。精心制作的惡意軟件僅用于對(duì)其有價(jià)值的最終用戶機(jī)器射窒。

APT惡意軟件的DNS行為特征與惡意流量服務(wù)和DGA非常不同。Flux service和DGA域有一些明顯的特性将塑。例如脉顿，從由域生成算法生成的域中提取“短生命”特性。因?yàn)镈GA域僅在短時(shí)間內(nèi)使用[7]点寥“保“字母數(shù)字分布”也是從DGA域中提取的特征，因?yàn)镈GA域不包含“有意義”的單詞[7], [8]敢辩。例如蔽莱，惡意流量DNS流量也有一個(gè)明顯的共同特征，即解析到域名的IP地址變化迅速戚长。識(shí)別與APT惡意軟件活動(dòng)相關(guān)的惡意域名是一個(gè)挑戰(zhàn)盗冷。APT攻擊中精心制作的惡意軟件不使用惡意流量服務(wù)或DGA域。APT惡意軟件的域名是由攻擊者注冊(cè)的同廉。與這些機(jī)器人和蠕蟲相比仪糖，精心制作的惡意軟件需要高度的隱身。因此迫肖，APT惡意軟件的DNS行為特征不明顯锅劝。很難分析大型網(wǎng)絡(luò)中大量的入站和出站流量，比如大型企業(yè)和ISP咒程。在一個(gè)大的網(wǎng)絡(luò)中發(fā)現(xiàn)APT的惡意軟件感染是另一個(gè)具有挑戰(zhàn)性的問(wèn)題鸠天。

在本文中，我們提出了一種新的系統(tǒng)“IDnS”帐姻，它被放置在網(wǎng)絡(luò)出口點(diǎn)上，以檢測(cè)APT惡意軟件的感染奶段，它依賴于DNS來(lái)定位命令和控制服務(wù)器饥瓷。本文的主要貢獻(xiàn)如下:

?利用惡意DNS檢測(cè)技術(shù)和入侵檢測(cè)技術(shù)的結(jié)合，將一個(gè)新的系統(tǒng)置于網(wǎng)絡(luò)邊緣痹籍，檢測(cè)網(wǎng)絡(luò)內(nèi)的惡意軟件感染呢铆。這種方法不僅可以大大減少需要記錄和分析的網(wǎng)絡(luò)流量，而且還可以提高系統(tǒng)的可持續(xù)性蹲缠。

?我們通過(guò)研究大量的DNS流量(可以稱為大數(shù)據(jù))來(lái)定義14個(gè)APT惡意軟件C&C服務(wù)器領(lǐng)域特性棺克，包括動(dòng)態(tài)DNS特性悠垛。其中7個(gè)在之前的作品中沒(méi)有提出過(guò)。此外娜谊，還定義了異常的網(wǎng)絡(luò)流量特性确买，以幫助識(shí)別被遠(yuǎn)程控制的受損客戶的流量。

?我們使用使用這些特征向量建立一個(gè)聲譽(yù)引擎來(lái)決定一個(gè)IP地址是否被感染纱皆。

二湾趾、相關(guān)工作

１、DNS惡意軟件研究

研究人員最近提出了通過(guò)DNS流量分析識(shí)別惡意域名的方法派草。Notos[9]建立一個(gè)聲譽(yù)引擎搀缠，為一個(gè)新的未知領(lǐng)域動(dòng)態(tài)分配聲譽(yù)評(píng)分，以判斷它是否具有惡意近迁。EXPOSURE[7]研究了DNS解析器下的一個(gè)本地域內(nèi)的DNS查找行為艺普，以檢測(cè)惡意使用的域，如用于惡意流量的域鉴竭、成人網(wǎng)站歧譬、垃圾郵件、網(wǎng)絡(luò)釣魚和惡意軟件拓瞪。在文獻(xiàn)[10]中缴罗，它給出了系統(tǒng)EXPOSURE的摘要[7]，它使用被動(dòng)的DNS分析來(lái)自動(dòng)檢測(cè)惡意域名祭埂。相對(duì)于以往的研究面氓，Notos[9]和[7]，基于從本地遞歸DNS服務(wù)器上的DNS流量蛆橡，Kopis[11]提供了一個(gè)新的有利位置舌界，并引入了新的流量特性，通過(guò)在上面的DNS層次結(jié)構(gòu)中監(jiān)控上DNS的網(wǎng)絡(luò)流量來(lái)獲取流量的全局可見(jiàn)度泰演。通過(guò)分析全局DNS查詢呻拌，它可以準(zhǔn)確地檢測(cè)到惡意軟件域。[12], [13]在DNS根服務(wù)器上分析DNS查找行為睦焕。Castro等人[14]和Brownlee等人[13]試圖表征在DNS根服務(wù)器上有多少DNS流量是非法的藐握。Gao等人[15]提出了一種新穎的方法來(lái)看待域名的共現(xiàn)和序列。它利用DNS查詢中的時(shí)間相關(guān)性將惡意的域組隔離開(kāi)來(lái)垃喊，但它需要已知的惡意域名作為錨猾普。

還研究了通過(guò)監(jiān)測(cè)和分析DNS流量來(lái)檢測(cè)惡意軟件活動(dòng)的方法。一些方法側(cè)重于檢測(cè)利用惡意流量服務(wù)（malicious flux service）的僵尸網(wǎng)絡(luò)本谜。Perdisci等[16]旨在通過(guò)分析來(lái)自多個(gè)大型網(wǎng)絡(luò)的遞歸DNS (rdn)流量來(lái)檢測(cè)惡意流量服務(wù)初家。[8]開(kāi)發(fā)了一種在網(wǎng)絡(luò)邊緣放置的系統(tǒng)，通過(guò)檢測(cè)DNS流量中的惡意流量域來(lái)檢測(cè)和減輕網(wǎng)絡(luò)上的僵尸網(wǎng)絡(luò)感染。不幸的是溜在，APT攻擊中精心制作的惡意軟件不會(huì)使用惡意的流量服務(wù)或DGA域陌知。[17]提出一種基于異常的機(jī)制，通過(guò)監(jiān)測(cè)和分析DNS流量來(lái)檢測(cè)僵尸網(wǎng)絡(luò)掖肋。該機(jī)制依賴于分布式機(jī)器人同時(shí)發(fā)送的DNS查詢中的組活動(dòng)仆葡。作者提出了一些特征來(lái)區(qū)分僵尸網(wǎng)絡(luò)和良性客戶端產(chǎn)生的DNS流量。但他們只關(guān)注僵尸網(wǎng)絡(luò)的群體活動(dòng)屬性培遵，他們識(shí)別的功能不適合檢測(cè)APT惡意軟件浙芙。

以前的工作都沒(méi)有試圖識(shí)別APT惡意軟件活動(dòng)中涉及的惡意域名。本文重點(diǎn)研究了APT活動(dòng)中精心制作的惡意軟件的C&C服務(wù)器域名籽腕。我們提取了14個(gè)APT惡意軟件C&C域特征嗡呼，包括惡意DDNS的特征，其中7個(gè)特征在以前從未被提出皇耗。我們將被稱為“IDns”的系統(tǒng)置于網(wǎng)絡(luò)的邊緣南窗，并進(jìn)行網(wǎng)絡(luò)流量分析，以檢測(cè)網(wǎng)絡(luò)內(nèi)受感染的機(jī)器郎楼。

２万伤、入侵檢測(cè)的研究

一般來(lái)說(shuō)，網(wǎng)絡(luò)入侵檢測(cè)的主要研究包括基于簽名的檢測(cè)和基于異常的檢測(cè)呜袁〉新颍基于簽名的檢測(cè)技術(shù)依賴于現(xiàn)有的簽名數(shù)據(jù)庫(kù)來(lái)檢測(cè)已知的惡意軟件感染。通過(guò)基于簽名的檢測(cè)技術(shù)阶界，可以通過(guò)基于簽名的模式匹配識(shí)別惡意軟件C&C通信流量虹钮。因此，對(duì)于惡意軟件感染檢測(cè)來(lái)說(shuō)膘融，這是一種典型的方法芙粱。但是基于簽名的檢測(cè)技術(shù)有一個(gè)致命的缺點(diǎn)，如果新的惡意軟件的簽名不在現(xiàn)有的簽名數(shù)據(jù)庫(kù)中氧映，它就無(wú)法檢測(cè)到新的惡意軟件感染春畔。

Snort[18]是一個(gè)著名的基于簽名的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。Snort在VRT中有許多用于檢測(cè)惡意代碼和可疑網(wǎng)絡(luò)活動(dòng)的規(guī)則岛都。這些都是很好的消息來(lái)源律姨，有許多優(yōu)秀的規(guī)則來(lái)檢測(cè)各種各樣的威脅，包括惡意軟件臼疫。在本文中线召，Snort由于其受歡迎程度和熟悉程度而被選中。以往的研究都集中在Snort的優(yōu)點(diǎn)和缺點(diǎn)[19], [20]多矮。只要攻擊是預(yù)先明確定義的，就有低的誤報(bào)，但是很難發(fā)現(xiàn)新的或未知的攻擊塔逃。

基于異常的入侵檢測(cè)[21], [22]是一種檢測(cè)偏離“正逞逗”行為的異常行為的技術(shù)。網(wǎng)絡(luò)的“正惩宓粒”行為首先需要研究和識(shí)別伏蚊。基于異常的入侵檢測(cè)的主要優(yōu)點(diǎn)是能夠檢測(cè)新的或未知的攻擊格粪。因?yàn)樾碌幕蛭粗膼阂廛浖暮灻豢捎悯锏酰矔?huì)產(chǎn)生異常行為≌饰基于異常的入侵檢測(cè)的主要缺點(diǎn)是比伏，它更容易產(chǎn)生誤報(bào)。由于不同網(wǎng)絡(luò)和應(yīng)用的行為是如此復(fù)雜疆导，“正沉尴睿”的行為很難準(zhǔn)確識(shí)別。與基于簽名的檢測(cè)不同澈段，基于異常的入侵檢測(cè)是一種基于檢測(cè)異常行為的更廣泛的匹配悠菜。許多合法的應(yīng)用程序執(zhí)行與惡意程序相同的異常行為。

Mcafee[23]向我們展示了識(shí)別APT惡意軟件命令和控制(C&C)通信流量的高級(jí)檢測(cè)技術(shù)败富。它還分析了APT惡意軟件與C&C服務(wù)器通信時(shí)產(chǎn)生的流量悔醋，并提取了一些服務(wù)器APT惡意軟件的網(wǎng)絡(luò)特性，其中包括變種Gh0st和毒葛兽叮》医荆卡巴斯基實(shí)驗(yàn)室[24]介紹了許多APT的惡意軟件和網(wǎng)絡(luò)運(yùn)動(dòng),包括方程”、“面具”充择、“BlackEnergy”和其他著名的APT活動(dòng)德玫。他們的報(bào)告包括C&C域名和APT惡意軟件的C&C服務(wù)器IP地址。

三椎麦、方法的概述

１宰僧、提取用于檢測(cè)的特性

IDns的設(shè)計(jì)目的是檢測(cè)在APT攻擊中用于制作惡意軟件的惡意域名，并檢測(cè)被感染的機(jī)器观挎。出于這個(gè)目的琴儿，我們對(duì)大量的DNS流量進(jìn)行了分析，這些流量可以稱為大數(shù)據(jù)嘁捷。我們還分析了大量可疑的惡意軟件C&C服務(wù)器的網(wǎng)絡(luò)流量造成。

我們從大數(shù)據(jù)中提取的特征包括惡意DNS特征和網(wǎng)絡(luò)流量特征。通過(guò)對(duì)DNS流量的研究雄嚣，我們獲得了能夠定義APT惡意C&C域的可識(shí)別DNS特性晒屎。通過(guò)研究惡意軟件和良性應(yīng)用程序的行為喘蟆，我們獲得了能夠定義APT惡意軟件C&C流量的可識(shí)別的網(wǎng)絡(luò)流量特性。網(wǎng)絡(luò)流量特性鼓鲁，包括基于簽名的檢測(cè)特性和基于異常的檢測(cè)特性蕴轨，可以幫助識(shí)別被精心設(shè)計(jì)的惡意軟件遠(yuǎn)程控制的受感染客戶的流量。

２骇吭、系統(tǒng)的架構(gòu)

圖1顯示了系統(tǒng)“IDnS”的體系結(jié)構(gòu)橙弱。它由四個(gè)主要單位組成:

數(shù)據(jù)收集器:將其放置在網(wǎng)絡(luò)邊緣，以記錄由網(wǎng)絡(luò)生成的入站和出站流量燥狰。

惡意DNS檢測(cè)器:負(fù)責(zé)分析網(wǎng)絡(luò)生成的入站和出站DNS流量棘脐，檢測(cè)可疑的APT惡意軟件C&C域。它將檢測(cè)可疑的APT惡意軟件相關(guān)領(lǐng)域龙致，并為系統(tǒng)的“網(wǎng)絡(luò)流量分析器”提供相應(yīng)的可疑的C&C服務(wù)器IP地址蛀缝。

網(wǎng)絡(luò)流量分析器:它由基于簽名的檢測(cè)器和基于異常的檢測(cè)器組成，用于分析可疑的C&C服務(wù)器IP地址的網(wǎng)絡(luò)流量净当∧谒梗基于簽名的檢測(cè)器已經(jīng)定義了C&C通信流量簽名，用于檢測(cè)系統(tǒng)已知的惡意軟件像啼》常基于異常的檢測(cè)器檢測(cè)異常行為，包括協(xié)議異常忽冻、統(tǒng)計(jì)異常真朗、應(yīng)用異常等。當(dāng)未知或新的惡意軟件被基于異常的檢測(cè)器識(shí)別時(shí)僧诚，將定義新的簽名遮婶。所有已識(shí)別的C&C通信流量簽名將被收集到我們的TM(目標(biāo)惡意軟件)族。

聲譽(yù)引擎:它的目標(biāo)是通過(guò)使用惡意的DNS和網(wǎng)絡(luò)流量特征向量湖笨，來(lái)計(jì)算IP地址的信譽(yù)評(píng)分來(lái)判斷主機(jī)或服務(wù)器是否感染了IP地址旗扑。

３、惡意的DNS特征

在本文中慈省，我們根據(jù)大數(shù)據(jù)識(shí)別出14個(gè)特征來(lái)檢測(cè)APT惡意軟件的命令和控制域(見(jiàn)表1)臀防。其中7個(gè)特征之前沒(méi)有提出過(guò)。我們還對(duì)以前提出的一些舊的特征給出了新的解釋边败。在本節(jié)中袱衷，我們將詳細(xì)介紹本文中提出的14個(gè)特性，并解釋它們可以用來(lái)檢測(cè)APT惡意軟件命令和控制域的原因笑窜。

３.１基于域名的特性

每一個(gè)域名都是按句點(diǎn)分開(kāi)的致燥。最后一部分稱為頂級(jí)域(TLD)。二級(jí)域(2LD)是最后兩個(gè)部分排截。第三級(jí)域(3LD)是最后三個(gè)部分嫌蚤，等等辐益。例如，給定域名“a.b.c.com”搬葬，域名的TLD為“com”荷腊，域名的2LD為“c.com”，域名的3LD為“b.c.com”急凰。對(duì)于動(dòng)態(tài)DNS, 2LD“c.com”是DDNS提供商現(xiàn)有的部分〔履辏“b.c.com”中的第三級(jí)子域名“b”是由用戶創(chuàng)建的抡锈。我們提取了三個(gè)基于域名的特征，第三級(jí)子域名是DDNS(動(dòng)態(tài)域名)乔外，其中包含了著名的名稱床三、特定的名稱或網(wǎng)絡(luò)名稱。在以往的研究中杨幼，這3個(gè)針對(duì)惡意軟件C&C動(dòng)態(tài)域名的功能從未被提出過(guò)撇簿。

包含著名的名稱:我們發(fā)現(xiàn)有趣的是，許多注冊(cè)于C&C服務(wù)器的動(dòng)態(tài)域名可以告訴我們他們自己高度懷疑差购。我們可以用名字來(lái)告訴他們四瘫。就像我們能說(shuō)的，一個(gè)穿警服的長(zhǎng)發(fā)男人是一個(gè)假警察欲逃。許多注冊(cè)的可疑動(dòng)態(tài)域名包含著名的域名找蜜，如windows，yahoo 和 taobao稳析。我們知道洗做，這些動(dòng)態(tài)域名幾乎不可能用于微軟、雅虎或阿里巴巴彰居。

包含特定的名稱:我們還發(fā)現(xiàn)為C&C服務(wù)器注冊(cè)的許多動(dòng)態(tài)域名包含一些特定的名稱诚纸，如“web”、“mail”陈惰、“news”和“update”畦徘。這些特定的名稱不僅使這些域名容易記住，而且使這些域更像普通的域名奴潘。正如所觀察到的旧烧，這個(gè)特定的名字和著名的域名通常是一起使用的，比如“yahoomail.xxx.com”画髓、“yahoonews.xxx.com”和“windowsupdate.xxx.com”掘剪。

包含釣魚名稱:網(wǎng)絡(luò)釣魚是一種通常用于社會(huì)工程攻擊的技術(shù)。攻擊者欺騙受害者訪問(wèn)一個(gè)惡意網(wǎng)站奈虾。當(dāng)受害者進(jìn)入釣魚網(wǎng)站時(shí)夺谁，會(huì)試圖在受害者身上安裝惡意軟件廉赔。為了欺騙用戶，我們都知道phishing域與合法域名有類似的名稱匾鸥。比如“youtuhe.com”蜡塌，“youtube.com”，“yah00.com”和“yahoo.com”等勿负。我們注意到馏艾，許多惡意的動(dòng)態(tài)域名被用于RAT工具的命令和控制服務(wù)器，而不是欺騙服務(wù)器奴愉，也有一個(gè)類似于合法域名的網(wǎng)絡(luò)釣魚域名琅摩。

3.2 DNS問(wèn)答功能

Silent IP:隱藏C&C服務(wù)器和C&C網(wǎng)絡(luò)流量，當(dāng)攻擊者不需要向受害者機(jī)器發(fā)送命令時(shí)锭硼，他們不希望域名指向C&C服務(wù)器房资。在那一刻，攻擊者通常會(huì)更改域以指向某些特定的ip檀头。具體的IP地址通常為:127.0.0.1(回行地址)轰异，192.168.x.x，172.16.x.x暑始，x 10. x.x(私有地址);. x.x.x.255(廣播地址)搭独。

預(yù)先定義的IP:在APT攻擊中一些高級(jí)的惡意軟件改進(jìn)了這個(gè)方法。當(dāng)攻擊者在開(kāi)發(fā)和編碼高級(jí)惡意軟件時(shí)蒋荚，一個(gè)預(yù)定義的IP被硬編碼到惡意軟件二進(jìn)制文件中戳稽。靜默機(jī)制的工作原理是這樣的，當(dāng)域被解析為預(yù)定義的IP時(shí)期升，惡意軟件就會(huì)轉(zhuǎn)向silent模式惊奇，并且在域被解析到另一個(gè)IP地址之前不會(huì)啟動(dòng)連接。預(yù)定義的IP地址通常是一些具有明顯特征的無(wú)效IP地址播赁，比如5.5.5.5颂郎、2.3.3.2。在本文中容为，這個(gè)特定的IP地址和預(yù)定義的IP地址都被稱為Silent IP乓序。在之前的研究中沒(méi)有提出預(yù)定義IP的特性。

不同的IP地址和不同國(guó)家的數(shù)量坎背，為了隱藏真正的攻擊源替劈，攻擊者通常使用服務(wù)器位于不同的國(guó)家或地區(qū)他們控制或管理著C&C服務(wù)器。對(duì)于攻擊者得滤，C&C服務(wù)器最好不要駐留在攻擊者或受害者的同一個(gè)國(guó)家陨献。因?yàn)槿绻鸆&C服務(wù)器位于受害者的同一個(gè)國(guó)家，受害國(guó)就更容易分析這次攻擊懂更。如果C&C服務(wù)器駐留在攻擊者的同一個(gè)國(guó)家眨业，那么跟蹤真實(shí)的源就更容易了急膀。之前的工作中使用了這兩個(gè)特性來(lái)檢測(cè)僵尸網(wǎng)絡(luò)[12], [16]。

共享相同IP的域數(shù)量:這也是EXPOSURE以前提出的一個(gè)特性[7]龄捡。我們研究并訓(xùn)練這個(gè)特性來(lái)檢測(cè)惡意的動(dòng)態(tài)DNS卓嫂，它也同樣有效。在APT攻擊場(chǎng)景中聘殖，單個(gè)攻擊者在同一時(shí)間內(nèi)很少擁有超過(guò)30個(gè)動(dòng)態(tài)名稱來(lái)定位命令和控制服務(wù)器晨雳，因?yàn)檫@不是必需的，而且很難維護(hù)它們就斤。因此悍募，惡意動(dòng)態(tài)域的數(shù)量共享相同的IP，定義小于30洋机。

已知的C&C服務(wù)器的B類范圍內(nèi)的IP:我們對(duì)已經(jīng)檢測(cè)到的C&C服務(wù)器的數(shù)量進(jìn)行了統(tǒng)計(jì)分析。結(jié)果顯示洋魂，在相同的B類IP地址范圍內(nèi)绷旗，甚至在同一類范圍內(nèi)，有許多C&C服務(wù)器副砍。這可能有兩個(gè)原因衔肢。第一個(gè)是越來(lái)越多的攻擊者租用VPS服務(wù)器作為C&C服務(wù)器。因?yàn)閂PS服務(wù)器是穩(wěn)定的豁翎，很難追溯和管理角骤。從同一服務(wù)提供者租用的VPS服務(wù)器大部分在相同的B類IP地址范圍內(nèi)，甚至在同一類范圍內(nèi)心剥。第二個(gè)原因是邦尊，一些高級(jí)攻擊者為C&C服務(wù)器構(gòu)建了特殊的網(wǎng)絡(luò)。

３.３基于時(shí)間價(jià)值的特征

每日相似度:此特征是在EXPOSURE提出的[7]优烧。他們檢查是否有一些域顯示他們的請(qǐng)求計(jì)數(shù)隨時(shí)間變化的相似性蝉揍，每天相同間隔的請(qǐng)求計(jì)數(shù)的增加或減少。在我們的檢測(cè)中畦娄，我們檢查這些域是否每天在相同的時(shí)間間隔內(nèi)改變IP地址又沾。例如，有組織的APT攻擊者通常會(huì)在一天工作時(shí)間的開(kāi)始時(shí)更改域指向C&C服務(wù)器熙卡，并在一天工作時(shí)間結(jié)束時(shí)更改域以指向靜默IP杖刷。一些惡意軟件通常在每天相同的時(shí)間間隔連接到C&C服務(wù)器，監(jiān)控DNS請(qǐng)求的一致間隔將會(huì)有所幫助驳癌。

同一時(shí)間窗口中相同的查詢數(shù)量:此特性意味著在同一時(shí)間窗口中滑燃，域查詢的數(shù)量大致相同。當(dāng)被感染的主機(jī)聯(lián)機(jī)時(shí)喂柒，但由于某種原因存在連接失敗不瓶。受感染的主機(jī)將會(huì)錯(cuò)誤地發(fā)送DNS錯(cuò)誤并發(fā)送大量的重復(fù)DNS查詢禾嫉。

非常低的頻率:這是在以前的工作中從未提出過(guò)的一個(gè)新特性。我們發(fā)現(xiàn)蚊丐，一些高級(jí)的APT惡意軟件查詢域以非常低的頻率定位命令和控制服務(wù)器熙参，在一個(gè)時(shí)間內(nèi)，甚至是幾個(gè)星期麦备。我們認(rèn)為這些域的行為是為避免被高級(jí)APT攻擊者發(fā)現(xiàn)而設(shè)計(jì)的孽椰。正如所觀察到的，這些域還有其他共同的特性凛篙。大多數(shù)域都是web服務(wù)器黍匾，這些web服務(wù)器在網(wǎng)站內(nèi)容和設(shè)計(jì)中也有共同的特性。域名的解析IP地址和時(shí)間(TTL)都是穩(wěn)定的呛梆。

3.3TTL價(jià)值特性

Time To Live (TTL)是由權(quán)威的名稱服務(wù)器為DNS記錄設(shè)置的锐涯。TTL是指解析器可能緩存域的響應(yīng)結(jié)果的時(shí)間。如果存根解析器在TTL過(guò)期之前查詢緩存名稱服務(wù)器填物，那么緩存服務(wù)器將簡(jiǎn)單地使用已緩存的資源記錄進(jìn)行應(yīng)答纹腌，而不是從權(quán)威的名稱服務(wù)器中檢索它。

平均TTL:將主機(jī)名的TTL值設(shè)置為較低的值可以幫助攻擊者快速更改C&C服務(wù)器滞磺。此外升薯，基于我們的測(cè)量，動(dòng)態(tài)域名服務(wù)的TTL值击困，如dyndn涎劈、NO-IP和ChangeIP，通常設(shè)置為30阅茶、31蛛枚、60,300秒猫态。但并不是所有的惡意軟件C&C域都將TTL值設(shè)置為更低的值萧朝。正如我們?cè)凇胺浅５皖l率”中提到的，有高級(jí)的惡意軟件域設(shè)置更高的TTL值间护，如觀察到的86400秒企蹭。因?yàn)樗麄儙讉€(gè)星期都不改變解析IP地址白筹。

3.４探索功能

上面列出的惡意DNS特性都是基于被動(dòng)分析的。在此部分谅摄，我們提出了主動(dòng)探測(cè)方法來(lái)幫助檢測(cè)惡意域名徒河。

Web服務(wù)器與否:我們建議使用這一新方法探測(cè)域的80端口，并檢查它是否是真實(shí)的Web服務(wù)器送漠。如果一個(gè)域保持TCP端口80打開(kāi)而不是一個(gè)web服務(wù)器顽照，它是高度可疑的。我們可以檢查它是否是一個(gè)命令和控制服務(wù)器保持TCP端口80開(kāi)放監(jiān)聽(tīng)被感染的主機(jī)通過(guò)分析響應(yīng)數(shù)據(jù)包連接。但是如果它是一個(gè)web服務(wù)器代兵，我們不能確認(rèn)它是一個(gè)命令和控制服務(wù)器尼酿。因?yàn)楣粽呖梢允褂脀eb服務(wù)器作為命令和控制服務(wù)器。

Whois信息:通過(guò)查詢Whois植影，我們可以獲得更多的域名信息裳擎，如注冊(cè)日期、注冊(cè)商思币、注冊(cè)人姓名鹿响、注冊(cè)電子郵件和注冊(cè)國(guó)家。將這些信息與之前已知的惡意軟件C&C域的信息進(jìn)行比較是一種有效的方法谷饿。例如惶我，著名的APT惡意軟件“等式”的所有C&C域似乎都是通過(guò)相同的兩個(gè)主要注冊(cè)商注冊(cè)的，使用“代理域”來(lái)屏蔽注冊(cè)者信息博投。

４绸贡、網(wǎng)絡(luò)流量特性

我們的系統(tǒng)IDnS使用基于簽名的檢測(cè)和基于異常的檢測(cè)一起為監(jiān)控網(wǎng)絡(luò)提供最大的防御。

４.１基于簽名的檢測(cè)功能

規(guī)則集在基于簽名的id中起著至關(guān)重要的作用毅哗，規(guī)則的數(shù)量和準(zhǔn)確性決定了可以檢測(cè)到多少感染恃轩。為了應(yīng)用眾所周知的基于簽名的IDS的公共開(kāi)放規(guī)則集，我們使用來(lái)自snort的VRT規(guī)則集[18]的規(guī)則黎做。我們的系統(tǒng)側(cè)重于檢測(cè)惡意軟件感染，所以適用于該系統(tǒng)的規(guī)則主要來(lái)自惡意后門規(guī)則松忍、惡意數(shù)控規(guī)則蒸殿、惡意程序和黑名單規(guī)則。經(jīng)過(guò)長(zhǎng)時(shí)間的檢測(cè)鸣峭，系統(tǒng)檢測(cè)并確認(rèn)了大量惡意DNS檢測(cè)和基于異常檢測(cè)的惡意軟件感染宏所。

我們?cè)诒疚闹刑岬降幕诤灻臋z測(cè)功能是指當(dāng)惡意軟件與C&C服務(wù)器通信時(shí)產(chǎn)生的C&C網(wǎng)絡(luò)流量的特征。通過(guò)分析惡意軟件與指揮和控制服務(wù)器通信時(shí)產(chǎn)生的網(wǎng)絡(luò)流量摊溶，我們提取了21個(gè)未知惡意軟件或木馬的網(wǎng)絡(luò)通信特征爬骤。我們將未知的惡意軟件歸到我們的TM(目標(biāo)惡意軟件)家族，因此我們的TM(目標(biāo)惡意軟件)家族中的所有惡意軟件都可以被習(xí)慣性地檢測(cè)到莫换。我們將在未來(lái)繼續(xù)做這項(xiàng)工作霞玄，因?yàn)樗菣z測(cè)惡意軟件感染的有效方法。

當(dāng)惡意軟件與命令和控制服務(wù)器通信時(shí)產(chǎn)生的網(wǎng)絡(luò)流量更傾向于具有一致的特性拉岁。這是因?yàn)楣粽咴谑芨腥緳C(jī)器和控制服務(wù)器之間建立的命令和控制通道是穩(wěn)定的坷剧。惡意軟件用于與C&C服務(wù)器通信的C&C協(xié)議通常具有一致或常規(guī)的內(nèi)容[23]。

例如喊暖，在我們的TM(目標(biāo)惡意軟件)家庭中惫企，惡意軟件TM1通過(guò)HTTP協(xié)議啟動(dòng)了一個(gè)連接到命令和控制服務(wù)器的連接，URL參數(shù)始終是一致的陵叽。TM1有一致的URL參數(shù)“GET/1/login.php?u=YmFsY2s=&p=cGFzc3dvcmQyMDE1 HTTP1.1”狞尔。我們TM家庭的另一個(gè)有針對(duì)性的惡意軟件TM2有常規(guī)的URL參數(shù)“GET/{6characters}.php?　id={12 characters} HTTP1.1”這１２個(gè)字符是受感染機(jī)器的加密MAC地址丛版。當(dāng)惡意軟件通過(guò)HTTP協(xié)議與命令和控制服務(wù)器通信時(shí)，分析HTTP報(bào)頭是一種用于檢測(cè)惡意軟件通信的通用方法偏序。我們可以在HTTP POST/GET請(qǐng)求中從URL參數(shù)页畦、內(nèi)容類型、內(nèi)容長(zhǎng)度和用戶代理中提取網(wǎng)絡(luò)流量特性禽车。

一些APT惡意軟件通過(guò)HTTPS協(xié)議與命令和控制服務(wù)器通信寇漫。在這種情況下，檢測(cè)一致或常規(guī)的URL參數(shù)不起作用殉摔，因?yàn)閁RL內(nèi)容是加密的州胳。還有一種方法可以檢測(cè)HTTPS C&C流量。因?yàn)橥ㄟ^(guò)HTTPS協(xié)議與命令和控制服務(wù)器通信的惡意軟件具有一致的安全套接字層(SSL)證書逸月。在SSL證書中檢測(cè)一致的默認(rèn)值也是檢測(cè)惡意軟件感染的有效方法[23]栓撞。

4.2基于異常的檢測(cè)特性

基于異常的入侵檢測(cè)是基于對(duì)網(wǎng)絡(luò)中異常行為的檢測(cè)⊥胗玻基于簽名的方法需要一個(gè)已知簽名的數(shù)據(jù)庫(kù)瓤湘。基于異常的入侵檢測(cè)需要定義異扯魑玻或正常的行為弛说。我們定義了APT惡意行為，包括協(xié)議異常翰意、統(tǒng)計(jì)異常木人、應(yīng)用異常:

協(xié)議和端口(協(xié)議異常)的錯(cuò)配:為了通過(guò)目標(biāo)網(wǎng)絡(luò)的防火墻，惡意軟件通常使用防火墻允許C&C通信的協(xié)議和端口冀偶。正如所觀察到的醒第，惡意軟件與C&C服務(wù)器通信的最流行的端口是80、8080进鸠、443稠曼、8000、1863等等客年。惡意軟件與C&C服務(wù)器通信的最流行的協(xié)議是HTTP和HTTPs霞幅。C&C通信協(xié)議是在編碼階段由惡意軟件開(kāi)發(fā)人員設(shè)計(jì)和實(shí)現(xiàn)的，而當(dāng)攻擊者在使用C&C服務(wù)器的時(shí)候?qū)ζ溥M(jìn)行配置時(shí)搀罢，就會(huì)創(chuàng)建域和端口蝗岖。由于任何端口都可以由遠(yuǎn)程訪問(wèn)工具用戶配置，所以有時(shí)會(huì)發(fā)生協(xié)議和端口的不匹配榔至。例如抵赢，HTTP協(xié)議通信不發(fā)生在端口80或8080上，或者在端口80上發(fā)生非HTTP協(xié)議通信。它們都很可能是惡意的流量铅鲤。

加密數(shù)據(jù)在不常用的端口(協(xié)議異常)上傳輸:不是所有的惡意軟件都在常用的協(xié)議端口上與C&C服務(wù)器通信划提。一些惡意軟件有時(shí)會(huì)與一些端口上的C&C服務(wù)器通信，而這些服務(wù)器很少被合法的應(yīng)用程序使用邢享。而大部分的APT的惡意軟件C&C的流量數(shù)據(jù)被加密以躲避檢測(cè)鹏往。因此，在不常用的協(xié)議端口上的加密數(shù)據(jù)也可能是惡意的流量骇塘。

上行鏈路和下行鏈路的不匹配(統(tǒng)計(jì)異常):正常情況下伊履，下行數(shù)據(jù)流量到主機(jī)的流量比上行流量到服務(wù)器的流量要大。但是C&C通信流量是截然相反的款违。被感染的主機(jī)上傳到控制服務(wù)器的數(shù)據(jù)流量總是大于從控制服務(wù)器接收到的數(shù)據(jù)流量唐瀑。例如，HTTP請(qǐng)求的流量遠(yuǎn)遠(yuǎn)超過(guò)HTTP響應(yīng)插爹，這很可能是惡意的流量哄辣。

許多小數(shù)據(jù)包長(zhǎng)TCP連接(統(tǒng)計(jì)異常):當(dāng)攻擊者發(fā)送的命令集受感染的機(jī)器,命令,如文件資源搜索命令,文件下載命令需要很多等待時(shí)間,加上人類的思考時(shí)間,使連接會(huì)話持續(xù)時(shí)間更長(zhǎng)。由C&C服務(wù)器發(fā)送給受感染主機(jī)的命令集是所有小數(shù)據(jù)包赠尾。

心跳包流量(應(yīng)用程序異常):在被感染的主機(jī)客戶端連接了命令和控制服務(wù)器后力穗，服務(wù)器將發(fā)送數(shù)據(jù)包給客戶端，確保另一端在線气嫁。這種包稱為心跳包当窗。由于心跳包的大小類似，我們將所有數(shù)據(jù)包按數(shù)據(jù)包大小分組寸宵，并檢查同一集群中的數(shù)據(jù)包是否定期發(fā)送超全。

惡意軟件領(lǐng)域的流量:正如我們?cè)趯?shí)驗(yàn)中所觀察到的，C&C服務(wù)器的流量在大多數(shù)情況下都是平滑的邓馒，但是當(dāng)攻擊者從受感染的主機(jī)上傳數(shù)據(jù)到C&C服務(wù)器時(shí)，其流量就會(huì)達(dá)到峰值蛾坯。

圖2顯示了一天24小時(shí)內(nèi)3個(gè)惡意軟件域(C&C服務(wù)器)的流量光酣。domain3的C&C服務(wù)器控制了2個(gè)受感染的主機(jī)，攻擊者在10:00-11:00時(shí)從第一個(gè)主機(jī)竊取了18.2MB的數(shù)據(jù)脉课，從另一個(gè)被感染的主機(jī)竊取了14.1MB的數(shù)據(jù)救军，時(shí)間是15:00-16:00PM。由于沒(méi)有上傳數(shù)據(jù)倘零，其他2個(gè)域名的流量一直保持平穩(wěn)唱遭，大約每小時(shí)4KB和16KB。

根據(jù)流量分析呈驶，監(jiān)控網(wǎng)絡(luò)中的大多數(shù)主機(jī)不知道惡意軟件域拷泽，并與C&C服務(wù)器通信，除了受感染的主機(jī)。另一個(gè)原因是司致，感染宿主的心跳包很小拆吆，而且感染宿主并不總是在網(wǎng)上。大多數(shù)惡意軟件都是為了特定目的而竊取信息脂矫。在受感染的計(jì)算機(jī)中有許多文件枣耀，我們對(duì)惡意網(wǎng)絡(luò)流量的研究表明，攻擊者更喜歡從受感染的計(jì)算機(jī)竊取辦公文檔庭再，比如doc捞奕、xls和pdf。攻擊者還喜歡上傳諸如WinRAR之類的壓縮工具來(lái)打包一些文檔文件拄轻。

５颅围、建立檢測(cè)模型

５.１構(gòu)建訓(xùn)練數(shù)據(jù)集

訓(xùn)練數(shù)據(jù)集在機(jī)器學(xué)習(xí)算法中起著重要的作用[25]。我們的目標(biāo)是訓(xùn)練一個(gè)分類器哺眯，它可以識(shí)別用于制作惡意軟件C&C服務(wù)器的域谷浅，并訓(xùn)練一個(gè)聲譽(yù)函數(shù)，它可以判斷一個(gè)IP地址是否被惡意軟件感染奶卓。

為此一疯，我們收集了大約1000個(gè)用于制作惡意軟件C&C服務(wù)器的域，并收集了1000個(gè)良性域來(lái)構(gòu)建訓(xùn)練數(shù)據(jù)集夺姑。我們正在討論的訓(xùn)練集中的這些惡意域是用于制作惡意軟件的C&C服務(wù)器域墩邀，不包括惡意流量或DGA(域生成算法)域。我們從malwaredomains.com [26]盏浙， VRT規(guī)則集[18]眉睹，apt.securelist.com[24]等收集惡意軟件C&C服務(wù)器域。不同于Notos[9]和EXPOSURE[7]废膘，我們充分利用了在網(wǎng)絡(luò)中部署的“病毒郵件檢測(cè)系統(tǒng)”竹海，并從數(shù)百個(gè)惡意軟件樣本中提取了數(shù)百個(gè)惡意域名。將病毒郵件發(fā)送到特定的目標(biāo)丐黄，并附帶帶有漏洞的文檔和特洛伊木馬程序斋配，已經(jīng)成為APT攻擊中最重要的攻擊載體之一[27]。

我們系統(tǒng)的訓(xùn)練期是前四個(gè)星期灌闺。在這四個(gè)星期的時(shí)間里艰争，惡意軟件C&C領(lǐng)域的“基于時(shí)間的行為”可以被更好的觀察。在最初的4個(gè)星期里桂对，我們?cè)谝粋€(gè)具有不同價(jià)值的大型地方研究機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行試驗(yàn)甩卓，我們還在網(wǎng)絡(luò)中標(biāo)記了大約500個(gè)惡意域名和超過(guò)200個(gè)受感染的機(jī)器，通過(guò)人工分析網(wǎng)絡(luò)連接到每個(gè)可疑的C&C服務(wù)器域蕉斜，并對(duì)網(wǎng)絡(luò)中每個(gè)受感染的主機(jī)進(jìn)行人工驗(yàn)證逾柿。我們?cè)跇?gòu)建惡意域名列表和感染主機(jī)列表時(shí)是保守的缀棍。我們?cè)诮o域名貼上惡意的標(biāo)簽之前，先進(jìn)行初步檢查鹿寻，IP地址是被感染的睦柴，然后用在我們的訓(xùn)練設(shè)備上，每一種感染都通過(guò)現(xiàn)場(chǎng)檢查和人工驗(yàn)證通過(guò)研究機(jī)構(gòu)的網(wǎng)絡(luò)管理員的合作來(lái)確認(rèn)毡熏。我們的訓(xùn)練數(shù)據(jù)集里的1000個(gè)良性域是從Alexa top 1000域收集的[28]坦敌。

５.２惡意DNS檢測(cè)器分類器。

惡意DNS檢測(cè)器的分類器采用J48決策樹(shù)算法痢法。J48決策樹(shù)是基于C4.5算法的狱窘，它已經(jīng)被證明有效地分類了EXPOSURE的良性域和惡意域[7]。J48決策樹(shù)分類器是在訓(xùn)練期間建立的财搁。每個(gè)節(jié)點(diǎn)都在檢查某個(gè)屬性的狀態(tài)蘸炸。這棵樹(shù)的每一根樹(shù)枝都代表了這項(xiàng)研究的結(jié)果。

５.3信譽(yù)引擎

我們系統(tǒng)的信譽(yù)引擎(參見(jiàn)圖3)負(fù)責(zé)檢測(cè)具有IP地址i的網(wǎng)絡(luò)內(nèi)部的主機(jī)是否具有類似于受感染的主機(jī)的行為尖奔。它計(jì)算一個(gè)IP地址的信譽(yù)評(píng)分搭儒。聲譽(yù)評(píng)分在0和1之間。得分0代表低信譽(yù)(意味著惡意軟件感染)提茁，得分1代表高聲譽(yù)(它意味著沒(méi)有被感染)淹禾。我們將這個(gè)聲譽(yù)函數(shù)作為統(tǒng)計(jì)分類器來(lái)實(shí)現(xiàn)。

我們使用了三個(gè)模塊茴扁，分別是惡意DNS檢測(cè)器模塊铃岔、基于簽名的檢測(cè)器模塊和基于異常的檢測(cè)器模塊，分別計(jì)算三個(gè)輸出向量MD(ip i)峭火、SD(ip i)和AD(ip i)毁习。在計(jì)算了向量MD(ip i)、SD(ip i)和AD(ip i)之后卖丸，這三個(gè)特征向量將被串聯(lián)成一個(gè)特征向量V(ip i)纺且。V(ip i)將被輸入到訓(xùn)練有素的聲譽(yù)函數(shù)中。信譽(yù)函數(shù)負(fù)責(zé)計(jì)算分?jǐn)?shù)S = f(ip i)稍浆。S在0和1之間變化隆檀。結(jié)果0代表低信譽(yù)，這意味著惡意軟件被感染粹湃。結(jié)果1代表較高的聲譽(yù)，意味著沒(méi)有感染泉坐。較低的價(jià)值代表較低的聲譽(yù)为鳄。聲譽(yù)函數(shù)使用數(shù)據(jù)集 L = {(V(ip i )), y i } i=1..n。如果ip i是被確認(rèn)的感染宿主腕让，y i = 0孤钦，否則y i = 1歧斟。

6、評(píng)價(jià)

我們的實(shí)驗(yàn)是在一個(gè)大型的當(dāng)?shù)匮芯克木W(wǎng)絡(luò)上進(jìn)行的偏形，持續(xù)了8個(gè)星期静袖。注意，在兩個(gè)月的實(shí)驗(yàn)期間俊扭，試驗(yàn)的前四個(gè)星期是訓(xùn)練期队橙，最后四周是測(cè)試。這個(gè)大型的地方機(jī)構(gòu)網(wǎng)絡(luò)是一種具有高價(jià)值信息的網(wǎng)絡(luò)萨惑，它往往受到高級(jí)持續(xù)威脅攻擊者的攻擊捐康。該網(wǎng)絡(luò)在邊緣有一個(gè)專業(yè)的流量監(jiān)控設(shè)備，可以監(jiān)控大量的入站和出站流量庸蔼，包括DNS流量和C&C服務(wù)器流量解总。在兩個(gè)月的實(shí)驗(yàn)期間，大型的本地研究所網(wǎng)絡(luò)擁有超過(guò)3萬(wàn)名用戶姐仅，我們監(jiān)測(cè)了大約4億個(gè)DNS查詢花枫。

如果不部署任何過(guò)濾器，記錄和分析大量的流量是不可行的掏膏。因此劳翰，使用兩個(gè)過(guò)濾器減少了DNS流量。第一個(gè)過(guò)濾器是白色列表中最流行的域壤追。Alexa的前1000個(gè)站點(diǎn)[28]和所有的都有相同的著名的2LD或3LD域被收集到白名單中磕道。通過(guò)部署第一個(gè)過(guò)濾器，可以減少20%的監(jiān)控流量行冰。第二個(gè)部署過(guò)濾器是在我們觀察的網(wǎng)絡(luò)中被超過(guò)1000個(gè)主機(jī)查詢的域溺蕉。在實(shí)驗(yàn)的前3天，我們記錄并通過(guò)網(wǎng)絡(luò)中查詢主機(jī)的數(shù)量對(duì)域進(jìn)行統(tǒng)計(jì)悼做。與惡意的flux域和DGA域不同疯特，在APT攻擊中精心設(shè)計(jì)的惡意軟件的C&C服務(wù)器域很少被用于太多的受感染的機(jī)器。通過(guò)部署兩個(gè)過(guò)濾器肛走，可以減少85%的流量漓雅。第二個(gè)部署過(guò)濾器使記錄和分析流量變得可行。

專業(yè)的流量監(jiān)控設(shè)備可以通過(guò)“源IP地址”朽色、“目的地IP地址”邻吞、“源端口”或“目的端口”等規(guī)則為我們提供監(jiān)控流量。在實(shí)驗(yàn)期間葫男，我們可以將可疑的C&C服務(wù)器IP作為“源IP地址”和“目標(biāo)IP地址”的規(guī)則提交給監(jiān)控設(shè)備抱冷。因此，我們的系統(tǒng)應(yīng)該記錄和分析的C&C服務(wù)器流量很小梢褐。

６.1評(píng)價(jià)分類器和信譽(yù)函數(shù)旺遮。

為了評(píng)估我們的“惡意DNS分類器”和“信譽(yù)函數(shù)”的真實(shí)陽(yáng)性率和假陽(yáng)性率赵讯，我們用10倍交叉驗(yàn)證和66%的分割率進(jìn)行了訓(xùn)練數(shù)據(jù)集的評(píng)估實(shí)驗(yàn)。66%比例分割意味著66%的訓(xùn)練數(shù)據(jù)集用于訓(xùn)練,其余34%是用于檢查耿眉。表2展示了這個(gè)評(píng)估實(shí)驗(yàn)的結(jié)果边翼。10倍交叉驗(yàn)證和66%的分割評(píng)價(jià)實(shí)驗(yàn)表明，我們的惡意DNS分類器和信譽(yù)函數(shù)的真實(shí)陽(yáng)性率約為96%鸣剪，假陽(yáng)性率約為1.5%组底。

我們的系統(tǒng)的最終目的是檢測(cè)未知的惡意軟件C&C域和精心制作的惡意軟件感染。評(píng)估必須顯示它能檢測(cè)到未知的惡意軟件C&C域以及在訓(xùn)練數(shù)據(jù)中不存在的惡意軟件感染西傀，為了達(dá)到這個(gè)目的斤寇，我們使用了過(guò)去四周的實(shí)驗(yàn)數(shù)據(jù)。

因?yàn)檫@個(gè)實(shí)驗(yàn)是在一個(gè)大型的地方機(jī)構(gòu)網(wǎng)絡(luò)上進(jìn)行的拥褂，所以要用真實(shí)的數(shù)據(jù)集來(lái)確定真實(shí)的正確率是很有挑戰(zhàn)性的娘锁。為了建立一個(gè)基本的事實(shí)，在過(guò)去的四個(gè)星期里饺鹃，我們從VRT規(guī)則集[18]中收集了900個(gè)域名[0]莫秆，在這個(gè)網(wǎng)絡(luò)中部署“病毒郵件檢測(cè)器”中電子郵件附件的惡意軟件樣本[26]。所有收集的域在之前的訓(xùn)練數(shù)據(jù)集中都沒(méi)有使用過(guò)悔详。在過(guò)去四個(gè)星期內(nèi)镊屎，在網(wǎng)絡(luò)中被感染的機(jī)器請(qǐng)求了900個(gè)收集的區(qū)域中的426個(gè)。其余的474個(gè)域沒(méi)有被查詢茄螃。在實(shí)驗(yàn)中缝驳，在426個(gè)域名中，有408個(gè)域名被IDnS檢測(cè)為惡意軟件C&C域名归苍。實(shí)際陽(yáng)性率為95.8%用狱。通過(guò)對(duì)已知惡意域名的C&C服務(wù)器網(wǎng)絡(luò)流量的人工分析，以及對(duì)可疑感染主機(jī)的現(xiàn)場(chǎng)檢查拼弃，發(fā)現(xiàn)197臺(tái)機(jī)器被感染夏伊。在這些設(shè)備中，有188臺(tái)機(jī)器被檢測(cè)到被IDnS感染吻氧。聲譽(yù)函數(shù)的真實(shí)陽(yáng)性率約為95.4%溺忧。

在過(guò)去4周的實(shí)驗(yàn)期間，459個(gè)域和227個(gè)機(jī)器被檢測(cè)到被IDnS的惡意和感染盯孙。如上所述鲁森，我們通過(guò)人工網(wǎng)絡(luò)流量分析、現(xiàn)場(chǎng)檢查和驗(yàn)證確認(rèn)了所有的惡意領(lǐng)域和感染振惰。結(jié)果顯示歌溉，被識(shí)別的惡意軟件C&C域的假陽(yáng)性率約為2.9%，而被識(shí)別的受感染機(jī)器的假陽(yáng)性率約為3.4%报账。

６.2對(duì)系統(tǒng)可持續(xù)性的評(píng)價(jià)

我們對(duì)已經(jīng)識(shí)別的200c&c服務(wù)器的流量進(jìn)行了統(tǒng)計(jì)研底，并在表3中示出一天的結(jié)果。我們還發(fā)現(xiàn)透罢，單個(gè)C&C服務(wù)器的流量每天可能會(huì)發(fā)生很大的變化榜晦，但是對(duì)于大量的C&C服務(wù)器來(lái)說(shuō)，總的流量和流量的比例并沒(méi)有太大的變化羽圃。它說(shuō)明了C&C服務(wù)器IP在正常情況下每天的流量較小乾胶，而該系統(tǒng)的網(wǎng)絡(luò)流量分析儀只需要分析較少的流量。

如果不知道哪個(gè)IP地址是可疑的C&C服務(wù)器朽寞，大多數(shù)當(dāng)前基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)都需要監(jiān)視和分析所有的流量识窿。對(duì)于基于簽名的IDS，很難實(shí)時(shí)處理大型企業(yè)和ISP網(wǎng)絡(luò)的大量流量脑融。對(duì)于基于異常的IDS喻频，記錄和分析大量的流量是不可行的。本文的安全方法可以大大減少需要記錄和分析的網(wǎng)絡(luò)流量肘迎。它可以提高系統(tǒng)的可持續(xù)性甥温。

7、與以前的工作相比較

７.１EXPOSURE:使用被動(dòng)DNS分析發(fā)現(xiàn)惡意域名

EXPOSURE[7]是一種使用被動(dòng)的DNS分析來(lái)檢測(cè)涉及到惡意行為的域的系統(tǒng)妓布。作者還提出了15個(gè)行為特征姻蚓，用于識(shí)別惡意域名。對(duì)于檢測(cè)僵尸網(wǎng)絡(luò)匣沼，對(duì)其特征的解釋狰挡。提取的結(jié)果表明，EXPOSURE的重點(diǎn)是利用惡意通量和域生成算法(DGA)檢測(cè)僵尸網(wǎng)絡(luò)释涛。

在“基于時(shí)間的特性集”中加叁，提出了“每日相似性”的特征，以檢測(cè)“每天同一時(shí)間間隔內(nèi)請(qǐng)求計(jì)數(shù)的增加或減少”枢贿。這個(gè)特性是基于僵尸網(wǎng)絡(luò)經(jīng)常使用的惡意流量服務(wù)而確定的[16]殉农。從域中提取特征“短生命”，因?yàn)樗麄冋J(rèn)為每個(gè)bot都可以使用域生成算法(DGA)局荚。DGA域僅在短時(shí)間內(nèi)使用[7]超凳。

在“TTL價(jià)值的特征集”中，基于Conficker蠕蟲追蹤一周耀态，提出了“不同TTL值”和“TTL變化數(shù)”的特征轮傍。Conficker是一個(gè)使用DGA的惡意軟件。他們提出的功能不能用于在APT攻擊中探測(cè)精心設(shè)計(jì)的遠(yuǎn)程訪問(wèn)工具(RAT)首装，因?yàn)锳PT攻擊者很少使用域通量技術(shù)或DGA创夜。

在“基于域名的特性集”中，“數(shù)字字符%”仙逻，“LMS(最長(zhǎng)的有意義的子字符串)長(zhǎng)度的百分比”顯示的EXPOSURE并不適合于檢測(cè)APT惡意軟件驰吓。APT攻擊中使用的域涧尿，無(wú)論動(dòng)態(tài)域名(DDNS)還是沒(méi)有，都是由攻擊者手動(dòng)注冊(cè)的檬贰，它們沒(méi)有定義的暴露的特性姑廉。

７.2在DNS流量中通過(guò)監(jiān)視組活動(dòng)來(lái)檢測(cè)僵尸網(wǎng)絡(luò)

[17]提出了一種通過(guò)監(jiān)測(cè)群活動(dòng)DNS流量來(lái)檢測(cè)僵尸網(wǎng)絡(luò)的新機(jī)制。他們專注于檢測(cè)一組bot翁涤，被稱為僵尸網(wǎng)絡(luò)桥言，由C&C服務(wù)器遠(yuǎn)程控制，可用于發(fā)送垃圾郵件葵礼、發(fā)起DDoS攻擊等号阿。作者定義了“群體活動(dòng)”以檢測(cè)僵尸網(wǎng)絡(luò)。根據(jù)判斷僵尸網(wǎng)絡(luò)域的機(jī)器人數(shù)量是固定的鸳粉，該特征被識(shí)別出來(lái)扔涧。組活動(dòng)是由多個(gè)分布式機(jī)器人發(fā)送的同步DNS查詢形成的。大多數(shù)合法域名都是連續(xù)查詢赁严，但不是同時(shí)查詢扰柠。

這種基于異常的檢測(cè)機(jī)制可以檢測(cè)到未知或未知的僵尸網(wǎng)絡(luò)。但是這種方法有內(nèi)在的局限性疼约，它只能檢測(cè)到僵尸網(wǎng)絡(luò)由大量的bot組成卤档。為了減少被檢測(cè)到的風(fēng)險(xiǎn)，高級(jí)攻擊者很少使用相同的C&C服務(wù)器和域來(lái)遠(yuǎn)程控制大量受損害的終端用戶機(jī)器程剥。

８劝枣、討論

本節(jié)討論了IDnS的優(yōu)點(diǎn)和局限性。首先執(zhí)行惡意的DNS分析织鲸，以找出在我們的方法中命令和控制服務(wù)器的可疑IP地址舔腾。只通過(guò)網(wǎng)絡(luò)流量特性分析，IDS有時(shí)無(wú)法準(zhǔn)確判斷主機(jī)是否被感染搂擦。但結(jié)合惡意DNS流量分析稳诚，IDS可以顯著提高檢測(cè)精度。惡意的流量特性發(fā)生在流量到可疑的惡意IP確實(shí)有很低的聲譽(yù)的正常流量瀑踢。這種方法的另一個(gè)優(yōu)點(diǎn)是它可以提高系統(tǒng)的可持續(xù)性扳还。對(duì)于一個(gè)大而高速的網(wǎng)絡(luò)來(lái)說(shuō)，記錄和處理所有入站和出站的流量是非常困難的橱夭。這種方法可以大大減少需要記錄和分析的網(wǎng)絡(luò)流量氨距。主要的限制是，IDnS不擅長(zhǎng)檢測(cè)不依賴于域的惡意軟件感染棘劣，比如木馬直接使用IP地址來(lái)定位命令和控制服務(wù)器俏让。經(jīng)過(guò)長(zhǎng)時(shí)間的檢測(cè)，我們收集了許多命令和控制服務(wù)器的IP地址。通過(guò)分析C&C服務(wù)器的流量首昔，這也可以幫助檢測(cè)不依賴于域的惡意軟件感染的部分寡喝。此外，該系統(tǒng)的管理員還可以提供他們想要集中于系統(tǒng)的流量分析器的IP地址勒奇。