Buscar / Predecir dominios generados por BotNet sin conocimiento de DGA

0

Plantearé una perspectiva académica en mi pregunta, pero doy la bienvenida a todas y cada una de las observaciones. Por lo tanto, una botnet generaría miles de dominios / día y un atacante real registrará unos pocos, que se utilizarán con cierta probabilidad. El punto es, dado un conjunto de datos de, por ejemplo, un millón de dominios y sin el conocimiento de DGA (algoritmo de generación de dominio), ¿hay alguna técnica / investigación disponible que predice la probabilidad de que un dominio sea un bot generado? Tengo mis propias ideas para hacer una:

  1. Excluir diccionarios de palabras del diccionario
  2. Incluir nombres de dominio aparentemente aleatorios / de basura / arbitrariamente grandes
  3. Compruebe la información de DNS para obtener información de registro posible, etc.

Lamentablemente, no pude encontrar ninguna investigación / texto estándar en esta área. Cualquier información sería útil.

    
pregunta Jishan 15.11.2017 - 15:19
fuente

1 respuesta

3

Todas sus tres ideas no son aplicables:

  1.   

    Excluir diccionario de dominios de palabras

    Hay DGA que usan dominios de palabras del diccionario, por ejemplo matsnu

  2.   

    Incluya aparentes nombres de dominio aleatorios / de basura / arbitrariamente grandes

    Hay nombres de dominio absolutamente legítimos que han sido generados por una DGA, especialmente en este momento de alojamiento "sin servidor" con nombres de dominio efímeros.

  3.   

    Compruebe la información de DNS para obtener información de registro posible, etc.

    No hay forma de informar a los clientes legítimos e ilegítimos de los registradores de dominio que ofrecen anonimato.

Sin embargo, hay un repositorio GitHub que recopila los resultados de varias DGA para probar y usar el aprendizaje automático para el reconocimiento de posibles y probables maliciosos. Dominios generados por DGA.

    
respondido por el Tobi Nary 15.11.2017 - 15:33
fuente

Lea otras preguntas en las etiquetas