如需要完整文档点击下方 "点击下载文档" 按钮

现有研究表明,域名生成算法( domain generation algorithm,DGA)已成为僵尸网络建立命令和控制服务通信的关键技术之一。 由于利用 DGA 域名随机性的检测方法已趋于成熟,为逃避检测,DGA 算法可能采用加密流量形式进行传输。针对基于域名随机性的检测模型缺乏对加密 DGA 流量的识别等问题,该文基于 DoH( DNS-over-HTTPS)协议验证了 DGA流量进行加密传输的可能性,分析了命令控制服务过程所产生的 HTTP 报文内容、HTTP 流量及对应的 TCP 流量。 因利用DoH 协议进行传输的数据包中不再包含 DNS 报文解析过程,最终选取了 DoH 流量数据包的长度和时序信息等特征进行识别。 在 DoH 网络中 DGA 流量特征分析的基础上结合 KNN 分类算法识别 DGA 域名,设计了一种基于特征工程与机器学习结合的识别方法,提供了 DoH 网络中 DGA 流量的检测方法。 实验结果表明,基于 DoH 流量的 DGA 分类模型在人工数据集上的准确率达到了 79% ,表现出良好的分类精度,为 DoH 网络安全提供了保障。

如需要完整文档点击下方 "点击下载文档" 按钮

《基于 DoH 流量的 DGA 识别方法》

将 完整文档 下载到本地，方便收藏和查阅

文件号：061435

点击下载文档