Một mô hình phát hiện DGA botnet dựa trên học kết hợp

Abstract

Gần đây, DGA đã trở thành kỹ thuật được sử dụng rộng rãi bởi nhiều mã độc nói chung và các botnet nói riêng. DGA cho phép các nhóm tin tặc tự động sinh và đăng ký các tên miền cho các máy chủ C&C của các mạng botnet để tránh bị đưa vào danh sách đen và vô hiệu hóa nếu sử dụng tên miền và địa chỉ IP tĩnh. Nhiều dạng kỹ thuật DGA ngày càng tinh vi được phát triển và sử dụng, như character-based DGA, word-based DGA và mixed DGA, cho phép sinh từ các tên miền đơn giản là tổ hợp ngẫu nhiên của các ký tự đến các tên miền là tổ hợp của các từ có nghĩa tương tự như các tên miền bình thường. Điều này gây khó khăn cho các giải pháp giám sát, phát hiện botnet nói chung và DGA botnet nói riêng. Nhiều giải pháp có khả năng phát hiện hiệu quả các tên miền dạng character-based DGA, nhưng không thể phát các word-based DGA và mixed DGA. Ngược lại, một số đề xuất gần đây có thể phát hiện hiệu quả các dạng tên miền word-based DGA, nhưng lại không thể phát hiện hiệu quả các tên miền của một số dạng character-based DGA. Bài báo này đề xuất một mô hình dựa trên học kết hợp cho phép phát hiện hiệu quả hầu hết các họ tên miền DGA, bao gồm cả character-based DGA, word-based DGA. Mô hình đề xuất kết hợp hai mô hình phát hiện thành phần, gồm mô hình phát hiện các tên miền họ character-based DGA và mô hình phát hiện các tên miền họ word-based DGA. Các kết quả thử nghiệm cho thấy mô hình kết hợp đề xuất có khả năng phát hiện hiệu quả 37/39 họ DGA botnet với tỷ lệ phát hiện đạt trên 89%.