Ricerca / previsione di domini creati con BotNet senza conoscenze DGA

0

Porrò una prospettiva accademica nella mia domanda, ma accolgo ogni osservazione. Quindi una botnet genererebbe 1000s di dominio / giorno e un attacker reale ne registrerà alcuni, che verranno usati con una certa probabilità. Il punto è, dato un set di dati di un milione di domini e senza la conoscenza di DGA (Domain Generation Algorithm), esiste una tecnica / ricerca disponibile che predice la probabilità che un dominio sia generato da un bot? Ho le mie poche idee per crearne una:

  1. Escludi dizionario domini di parole
  2. Includi nomi di domini di grandi dimensioni casuali / inutili / arbitrariamente di grandi dimensioni
  3. Verifica incrociato le informazioni DNS per informazioni sulla registrazione possibili ecc.

Purtroppo, non sono riuscito a trovare alcun testo / ricerca standard in quest'area. Qualsiasi informazione sarebbe di aiuto.

    
posta Jishan 15.11.2017 - 15:19
fonte

1 risposta

3

Tutte e tre le tue idee non sono applicabili:

  1. Exclude Dictionary Word Domains

    Esistono DGA che utilizzano domini di parole del dizionario, ad esempio matsnu

  2. Include Seeming Random/Garbage/Arbitrarily Large Domain Names

    Ci sono nomi di domini assolutamente legittimi che sono stati generati da un DGA, specialmente in questo momento di hosting "senza server" con nomi di dominio effimeri.

  3. Cross Check DNS information for possible registration information etc.

    Non c'è modo di dire ai clienti legittimi e illegittimi dei registrar di domini che offrono l'anonimato.

Esiste tuttavia un repository GitHub che raccoglie gli output di vari DGA per provare e utilizzare l'apprendimento automatico per il riconoscimento di possibili errori plausibili e probabili DGA ha generato i domini.

    
risposta data 15.11.2017 - 15:33
fonte

Leggi altre domande sui tag