基於相似關聯性探勘之異常網域偵測

Abstract

安全性是網路服務中的一個主要關注。因此，提供網路服務可靠的機制來確 保用戶的安全已成為一個重要問題。在網路安全的領域中，殭屍網路是其中特別 重要的一個議題，攻擊者可以透過控制大量的個人電腦，來進行許多惡意的網路 威脅。一般來說，控制殭屍網路包括兩個機制：傳播策略和通信管道的建立。最 早期建立溝通管道的方法是透過固定的IP。從2007 年開始，fast flux 的技術 被應用在Storm Worm 殭屍網路中建立一種新的溝通管道，這使得殭屍網路與其 擁有者之間的溝通管道更難以被停止。在2008 年年底，Conficker.C 進一步改 善了溝通管道，利用隨機網域生成的演算法來改善及延長溝通管道的建立。由殭 屍網路的演化中可以發現，一種可以用於偵測快速變化的網域及IP 地址的異常 網域偵測可以更快速的找出溝通管道並加以阻擋。在這項研究中，我們使用IP 位址之間的關連性來作為異常網域偵測的基礎。具體來說，我們希望利用單一筆 DNS 記錄中IP 地址的組合來偵測網域的異常。根據我們的觀察，正常的DNS 記 錄中，IP間的關連性會比異常網域的關連性來的高，這些異常網域包括fast flux 或是隨機產生的網域。在這個觀察基礎上，我們設計了異常網域偵測的 framework。這個framework 包含了四大部分，首先我們由網路流量中建立出網 域與IP 位址間的關連性，接著我們利用這些關連性來排除記錄中由於proxy 所 造成的noise，在第三個步驟我們進一步估算出IP 位址彼此間的關連性，最後 再利用這些關連性資訊找出異常的網域。