使用互联网的普及导致了一些网络攻击的危险,包括僵尸网络,DDoS攻击和垃圾邮件。如今,僵尸网络是最普遍和严重的威胁,通常发生在网络攻击。机器人是由攻击者控制,称为僵尸主控机,在一个共享的指挥和控制(C&C)基础设施,允许远程控制被感染的计算机系统。机器人不同于其他形式的恶意软件,他们是高度自治,并配有使用沟通渠道的能力接受命令和控制系统的代码更新。他们还可以定期通知他们的工作状态控制系统。僵尸网络控制系统、指挥和控制服务器,通过此方法和代码更新机器人僵尸主控机发送命令。僵尸网络通常被用来传播恶意软件,发送垃圾邮件,窃取敏感信息,欺骗,生成虚拟点击,或更严重的进行大规模的网络攻击,例如DDoS攻击。根据一些安全的报道,大约有80%的网络流量与僵尸网络的活动,包括垃圾邮件和网络攻击( 1]。域名服务(DNS)是一个重要的互联网服务,允许主机名的决议,或域名的互联网协议(IP)地址,反之亦然。例如,每次一个web客户端浏览器访问一个网页,它首先发送一个请求到DNS系统找到web服务器的IP地址。接下来,它使用的IP地址来访问web服务器和负载请求的web页面。大多数合法应用程序发出请求时使用DNS服务来访问网络服务。然而,DNS服务也由机器人僵尸网络的合法应用程序使用。机器人将DNS查询找到C&C服务器的IP地址,当他们有一个IP地址;他们访问中华商务服务器接收命令,以及下载更新后的机器人代码。逃避扫描和检测服务器,僵尸主控机是不断变化的服务器的名称和IP地址使用预定义的技术,如域生成算法(DGA),或快速变化( 2, 3]。的名称和IP地址服务器不断地推到DNS系统。机器人还能自动生成C&C服务器名称按照这些技巧。因此,机器人还可以找到服务器的IP地址自动生成自己的主机名和使用这些主机名来查询DNS服务。因此,监测和分析DNS查询的数据可以显示在监控网络恶意活动的存在,因为一些DNS查询的数据可能产生的僵尸网络。深入分析了可疑的DNS查询可能揭示出有价值的信息关于服务器和僵尸网络的存在。有效地应对僵尸网络需要仔细考虑渠道的控制来控制他们。这已经成为一个主要的挑战世界各地的安全系统。

僵尸网络广泛应用于有组织犯罪渗透到政府的安全系统,银行和企业。近年来,许多研究已经完成的方法检测和防止僵尸网络。根据Ryu和杨 4),创建的IP地址的数量作为控制和命令服务器由亚马逊在2017年对2016年增加了6倍( 4]。攻击者使用各种方法,如加密和新的通信协议,加强把命令的基础。基于[ 5],僵尸网络的主要目标如下:(1)信息分散:发送垃圾邮件,分布式拒绝服务,传播虚假信息的非法来源,并消除或减少带宽;(2)信息收集:获取个人身份,密码,和金融信息;和(3)信息处理:信息处理破解密码访问其他主机。

EGGDROP僵尸网络时在1993年,作为第一个僵尸网络报道,Necurs僵尸网络是最活跃的恶意软件出版商在2016年。230万多封垃圾,包括JavaScript和Visual Basic下载者,被作为电子邮件附件发送每天通过僵尸网络Necurs 11月24日。根据相同的报告,2016年僵尸网络显示最大的DDoS攻击,记录由法国OVH主机公司。1真沸点的最大速度,针对物联网(物联网)设备如路由器和IP摄像机,Gartner预测。将会有120亿多2022年物联网设备,防止这些威胁的第一步是检测,一直是许多研究的主题,近年来( 4]。

DGA检测框架,称为深机器人检测(DBD)提出分析和分类的统计特征提取的DNS查询机器学习。提出了框架的结果证明的准确性和假阳性率低检测domain-flux僵尸网络( 6]。

比尔博是一个混合模型,这就是卷积神经网络(CNN)的组成,长期短期记忆(LSTM)和人工神经网络(ANN)提出检测DGA僵尸网络( 7]。实验是进行三个DGA字典:gozi matsnu, suppobox。从数据集,80%是用于培训而20%是随机选择测试和抵抗。测试结果的分类、普遍性和基于时间的弹性,比尔博成功分类流量匹配预期的网络模式。虽然识别领域从网络日志没有僵尸网络或蠕虫接触中华商务,这是非常罕见的,比尔博是能够识别字典所使用的启动与潜在的恶意广告网络和其他应用程序。部署在现实世界:系统的性能评估使用Alexa DGArchive 100万强的数据。

僵尸网络检测算法有各种挑战可能影响结果( 8]。这些挑战有关的质量和数量的数据集的训练和测试基于机器学习的方法。另一个挑战是僵尸网络的快速通量方法可以隐藏身份和网络罪犯逃避或检测。虽然深度数据包检测(DPI)不是有效的加密的交通,机器学习僵尸网络检测和基于主机的检测机制需要很多资源,比如处理和存储。这可能导致主机的开销,因为他们必须保持运行检查网络流量和收集数据。

源和目标IP流为基础的功能,比如,协议,发送或接收的数据包数量是最常用的函数在机器人领域的检查。然而,这些功能不能完全捕捉通信模式,可能暴露恶意主机的其他方面。此外,流级别模型生成一个高计算开销,这可以避免通过调整行为特征,如修改数据包的结构。为了克服这些局限性,探索基于这些方法的特点是未来最有前途的方法研究,图从主机到主机的网络流量通信模式( 9, 10]。

方法提出了基于DNS查询类似的周期时间间隔级数的分析来识别DGA-bot-infected机器( 11]。测量DNS查询的相似的周期性,每一对之间的平方欧氏距离的计算时间间隔系列。最后,他们层次聚类算法应用到集群高相似的域名。结果表明,生成的域名是相同的僵尸网络或DGA分成相同的集群。

如前所述,僵尸网络的主要特征是中华商务基础设施。每个僵尸网络路由是一个协调的群机器人,通过中华商务渠道并执行恶意操作。因此,该方法的主要目的是检测僵尸网络,防止垃圾邮件和网络流量的传播。数以百万计的垃圾邮件如果发现僵尸网络是可以预防的。

在该方法中,用户行为分析和主机之间传输的流量记录提取网络行为模式。术语frequency-inverse文档频率(TFIDF)模型是用来模拟模块检测行为模式,和主成分分析(PCA)是用来增加诊断的速度和准确性评估结果。行为模式可以从一组攻击包的形式和使用可检测网络入侵检测规则。自然,使用多样的和高质量的数据,进一步评估该方法的力量。这样,流程上实现如何使用机器学习来检测恶意DGA域。这有助于扩展现有Splunk安全应用。

Splunk是一个软件平台搜索、分析和可视化机器生成的数据从网站,收集应用程序、传感器和设备。为了实现该方法,Splunk使用的是7.0版本与16 GB的内存,电脑英特尔酷睿i7 - 7660 u处理器,64位Windows操作系统。以下插件用于识别恶意域名: (我)

DGA分析应用。这个应用程序展示了如何使用MLTK实施机器学习来检测恶意域名。恶意软件像僵尸网络使用域生成算法创建主机恶意网站或服务器的url。静态匹配并不总是有帮助的。因此,机器学习模型可以增加价值,并允许提高检测率( 12]。

评估性能的域名使用机器学习算法分类,提取并标记域名数据集,100000个域名,是应用。这包括一个无害的域名从集合Spamhaus的网站( 17]。无风险域组顶部的Alexa排名。安全检查域名virustotal.com,以确保他们是安全的。几乎60%的域名是合法的域名和剩下的40%属于三个DGA子类对应于不同类型的僵尸网络。成束的列表,Chinad, NewgoZeus僵尸网络和一组危险的域名呈现在图 1。第一集开始标记代表一个合法的域或域名是由DGA ( 18]。在图 2、合法域字母是蓝色的集群和危险域字母在不同的集群(黄、红、紫)。这表明一些DGA子类,如newGOZ(黄色)比其他人更可分(红色和紫色)。这意味着比储物柜newGOZ检测更准确,游戏结束了宙斯,ChinAd探测器。这种方法的结果是第一个数值属性计算从域名的字符串。利用这些结果,可以确定域与DGA子类的规范。

图 3展示了一个僵尸网络检测系统框架模型,基于机器学习使用DNS查询数据。根据这一框架,僵尸网络定期发送查询查询DNS系统自动找到服务器的IP地址使用生成的域名。他们在两个阶段的培训和执行检测。在训练阶段,DNS查询收集数据然后域名的DNS查询提取。接下来,域名集预处理提取属性进行训练。在训练阶段,使用机器学习算法学习分类器。评估过程后,将机器学习算法选择适用于该诊断模型的总体分类精度最高。在这个模型的检测阶段,DNS查询监控和过程。这个过程是域名提取、预处理和分类在训练阶段,使用生成的分类。这是确定域名是否合法或属于一个僵尸网络。 The preprocessing step is the same for all domain letters in the training and the detection phase. However, for all domain names in the training phase dataset, this step is done in offline mode.

自动生成的僵尸网络域名通常有域名规范和词汇属性不同于合法的域名。一些特性,比如香农熵准则、已知词率在一个字典,域名,长度,辅音,元音率,以及域分析字符串,探索通过语法分析和主成分分析(PCA)。尺寸是有效改善的分析结果,提高诊断的准确性,使用TFIDF算法和字符长度设置n元参数,可以得到一个矩阵。这个矩阵在域名中包含最常见的团体字符串。通过这种方式,一个高维的结果。因此,通过使用PCA,尺寸下降。主成分分析提供了一个有用的形式表示,可以绘制三维图如图 4。

机器学习应用于Splunk发现异常,预测或估计系统的响应,或集群检测行为。通常处理一组字段不寻常的信息由一个人或国家代码写一个IP搜索,甚至从一个索引搜索字段。

本文对域名为冒险和合法的类别进行分类的基础上,创建功能。可以培养不同的算法和机器学习模型来评估算法是最准确的。在这种评价,逻辑回归算法,支持向量机,随机森林,研究了决策树。此外,技术分析的主要域名已经使用的组件和特性,可以提高检测算法的准确性( 1]。

首先,用随机数据,现有的数据集分为两套相同的培训和测试。提到的算法处理和比较的目的数据。在下一步中,基于算法的成功率行为的正确和积极的和消极的利率预测,评估结果可以读的偏差矩阵。提供的预测分类字段Splunk机器学习应用程序。这些数据根据数据处理 9- - - - - - 12用随机森林、逻辑回归、支持向量机、决策树算法。使用添加的功能,这些算法处理,依照SPL命令在图 13。

如图 14根据回归算法,结合错误分类的错误率几乎是7%。精确的值,记得,准确性,F1是93%。其他数据显示算法评估 15- - - - - - 17在相同条件下,性能评估。

如图 18和表 2,最佳的性能在最少的假阳性和best-combined结果预测错误率最低的相关随机森林。然而,决策树也有类似的功能。两种算法交叉验证后,可以认为本算法适用于这个数据集。在这种情况下,逻辑回归算法精度和预测错误率最高最低。此外,通过添加PCA特征和比较表 3和 4DGA的结果表明,该预测数据可以增加了99.2%。

提到模型的训练步骤之后,第一部分中创建的属性,应该计算。为数据,Splunk基础工具,生成一组随机的抽样域信每一分钟,使用机器学习的随机森林算法,决策树,后勤回归和支持向量机在实际搜索范围。的过程中指定正确的和不正确的预测数字 19- - - - - - 22和结果如下所示。

实际的基于时间的搜索随机森林、决策树、逻辑回归和支持向量机计算考虑了数据集的主要分析组件和没有它。根据表 5决策树的分析时间和随机森林与其他算法相比低。

应用的主要目的本研究中使用的数据集是减少所需的信息进行分析。结果列表只显示预期启动并检查这些DGA算法是否有安全风险。此外,通过编辑代码,图形界面定制的安全分析师能够为系统提供反馈。如果域名数据报告为合法的,结果不正确归类为DGA可以白名单。这将导致进一步减少假阳性的识别DGA域如图 23。

在该机制中,另一个级别的分类生成可以以不同的方式使用。通过手动将验证结果插入到训练数据集,提出了模型的准确性提高了持续培训。这有助于保持最新的模型和训练数据集随时间增大通过增加合法域名白名单,最后,扩大使用经批准的分类精确匹配的黑名单。结合所有这些方法会导致生存威胁的列表,我们可以存储和修改根据我们的组织环境和规范( 18]。总结在图的绘制逻辑 24。

评价结果表明,该算法的性能与不同的参数有关。

新一代的僵尸网络是使用稀释技术远离黑名单。研究表明,网络犯罪越来越多地打开这些技术来逃避传统的检测方法。DNS流量的特性之一是它可以逃避随机名称生成算法的攻击。这是一个攻击者改善DGA机器人的新挑战。在这个研究中,一个僵尸网络检测模型提出了基于机器学习的随机域生成算法。该模型使用域名查询数据基于文本挖掘模型。因此,僵尸网络的行为使用domain-flux技术隐藏指挥和控制通道进行了研究。

应用机器学习算法和文本挖掘技术分析DNS协议和识别僵尸网络。为了这个目的,提取并贴上域名包含清洁和DGA感染僵尸网络数据的数据集。为了探索域名字符串、语法分析和主成分分析用于预处理数据是基于文本挖掘的方法。域名结构中存在的一些特性。特征选择方法是用于提高机器学习算法的准确性。

评价结果表明,该算法的性能根据不同的参数变化。精确显示机器人的速度交通相比,确定机器人的算法。记得参数还指定了检测机器人的速度流量的算法。根据测试结果,可以看出,在决策树中,支持向量机,随机森林,和逻辑回归算法,逻辑回归算法具有最低的总体分类精度。此外,随机森林算法分类精度最高。然而,其他算法的分类精度的差异并不大。决策树和支持向量机算法几乎相同的总体分类精度。随机森林算法的结果明显优于决策树算法。然而,由于大量的树木所需的培训,培训时间随机森林了。然而,随机森林分类训练可以离线完成。 Hence, it does not affect the classification speed during the test period. The random forest machine learning algorithm has the highest overall classification accuracy. It is selected for implementing the proposed botnet detection model.