10.3969/j.issn.1673-629X.2021.12.021
基于DoH流量的DGA识别方法
现有研究表明,域名生成算法(domain generation algorithm,DGA)已成为僵尸网络建立命令和控制服务通信的关键技术之一.由于利用DGA域名随机性的检测方法已趋于成熟,为逃避检测,DGA算法可能采用加密流量形式进行传输.针对基于域名随机性的检测模型缺乏对加密DGA流量的识别等问题,该文基于DoH(DNS-over-HTTPS)协议验证了DGA流量进行加密传输的可能性,分析了命令控制服务过程所产生的HTTP报文内容、HTTP流量及对应的TCP流量.因利用DoH协议进行传输的数据包中不再包含DNS报文解析过程,最终选取了DoH流量数据包的长度和时序信息等特征进行识别.在DoH网络中DGA流量特征分析的基础上结合KNN分类算法识别DGA域名,设计了一种基于特征工程与机器学习结合的识别方法,提供了DoH网络中DGA流量的检测方法.实验结果表明,基于DoH流量的DGA分类模型在人工数据集上的准确率达到了79%,表现出良好的分类精度,为DoH网络安全提供了保障.
僵尸网络;命令控制服务;域名生成算法;DNS-over-HTTPS/DoH协议;网络流量分析
31
TP309.5(计算技术、计算机技术)
西藏自治区自然科学基金;西藏民族大学藏秦喜马拉雅人才发展支持计划-杰出青年学者项目;西藏民族大学涉藏网络信息内容与数据安全团队项目
2022-01-10(万方平台首次上网日期,不代表论文的发表时间)
共6页
122-127
