DGA 域名與APT 攻擊技術研究

◆趙煜 尹川銘 向媛媛

（國家計算機網絡應急技術處理協調中心山東分中心 山東 250002）

隨著網絡安全防護技術的不斷發展，傳統的惡意程序很難逃出安全防護設施的監測，傳統的惡意程序將C2 服務器的地址直接嵌入程序中，通過逆向分析后阻斷C2 服務器地址即可阻斷整個僵尸網絡。

速變Domain-flux 與Fast-flux 技術的誕生，解決了C2 服務器的隱藏問題，受控主機中的惡意程序通過快速變化的域名與C2 服務器建立網絡連接，給網絡安全威脅監測與阻斷帶來了挑戰。尤其是近年來具有政治屬性的APT 組織越來越活躍，DGA 域名已經成為APT攻擊過程中內外網通信與隱藏C2 服務器的常用手段。本文通過對DGA 域名生成算法，Domain-flux 與Fast-flux 技術，及APT 攻擊的常用攻擊方式研究，提出了一種通過深度神經網絡學習識別出DGA域名，結合威脅情報分析研判，用以實現對APT 攻擊的有效感知的方法。

1 DGA 算法與AGD 域名技術

DGA（Domain Generation Algorithm）域名生成算法，是一種算法機制，主要用來生成大量的隨機域名 AGD（Algorithmically Generated Domain），以便逃避安全設施的檢測[1]。DGA 域名常常被僵尸網絡用來隱藏受控主機與C2 服務器間的通信行為，攻擊者與受控主機使用同一套DGA 算法，生成相同的大量備選AGD 域名，選擇個別的域名進行注冊解析，就可以實現受控主機與C2 服務器間網絡連接的建立，進而發起進一步的攻擊[2]。因為只有阻斷所有的AGD域名才能有效阻斷受控主機與C2 服務器的通信，大量動態變化的隨機域名使得傳統的基于黑名單的安全防護手段無法有效發揮作用。……