Բոտնետները մեծ վտանգ են ներկայացնում ինտերնետի համար։ Botnet-ը բաղկացած է բազմաթիվ վտանգված համակարգիչներից և իրերի ինտերնետից (IoT) սարքերից, որոնք գտնվում են botmaster-ի հեռակառավարման ներքո: Botnet-ի հիմնական բաղադրիչը նրա Command-and-Control (C&C) ենթակառուցվածքն է: Հենց այստեղ են գործում տիրույթի ստեղծման ալգորիթմները և վնասակար տիրույթները: Արդյունավետ և ամուր DGA-ն թույլ է տալիս այս բոտերին խուսափողական լինել և կապ հաստատել բոտմաստերի հետ:
Դոմենների հոսքը (DGA) տեխնիկա է, որը հարձակվողները օգտագործում են վնասակար սերվերները թաքցնելու և սև ցուցակներից խուսափելու համար: Բոտը ստեղծում է կեղծ պատահական տիրույթի անուններ և կատարում DNS հարցումներ, մինչև գտնի IP հասցե՝ կապված լուծված տիրույթի հետ:
Իրականում, այս տեխնիկան թույլ է տալիս բոտնետների կարգավորիչներին խուսափել խուսափողականությունից և պոտենցիալ խուսափել հայտնաբերելուց: Այս տեսակի սպառնալիքներն արդյունավետ հայտնաբերելու համար պետք է կիրառվեն հատուկ մեթոդներ: Առաջարկվող մոտեցումը բաղկացած է երկու քայլից՝ վերահսկվող և չվերահսկվող:
Վերահսկվող մոտեցումը կախված է սահմանված պիտակների միջոցով մոդել ստեղծելու կարողությունից: Այն բաղկացած է լուծված DNS հարցումների վերլուծությունից նույն ժամանակային միջակայքում: Այն նաև ներառում է ստորագրության վրա հիմնված ցանցի և DNS-ի բնութագրերը վերլուծելու համար: Մասնավորապես, մի քանի DNS լուծիչներից պասիվ կերպով վերցված պատմական DNS տեղեկատվությունը հավաքվում է օրինական ռեսուրսների մոդել ստեղծելու համար: Վերահսկվողներն են Notos-ը և BotCensor-ը: Հետևաբար, Notos-ը կառուցում է հայտնի օրինական տիրույթների և վնասակար տիրույթների մոդելներ:
DNS տրաֆիկի վերլուծությունը կարող է օգնել DGA-ի հայտնաբերմանը: Այն ապահովում է բարձր ճշգրիտ արդյունքներ և ցածր կեղծ դրական ցուցանիշներ: Կարիք չկա վերլուծել ամբողջական ցանցի տրաֆիկը, և դա կարող է լինել իրական ժամանակի մոտ: Օգտագործվում են ինչպես վերահսկվող, այնպես էլ ոչ վերահսկվող մեթոդներ: Կան տարբեր մեթոդներ, որոնք վերլուծում են DNS տրաֆիկի լեզվական, քանակական և այլ ատրիբուտները՝ DGA չարամիտ ծրագրերի տիրույթների հայտնաբերման համար: Այս տեխնիկան վերահսկվում է կամ չի վերահսկվում և հիմնված է հիմնականում մեկ ցանցի մոնիտորինգի և DNS վերլուծության վրա:
Գոյություն ունի նաև չվերահսկվող մոտեցում, որն ավելի բարձր ճշգրտություն է առաջացնում և ավելի լավ է գործում ցանցային տարբեր միջավայրերում: Երկու կարևոր մեթոդներ են Botdigger-ը և Exposure-ը: BotDigger-ի մուտքերը ներառում են .pcap կամ DNS log ֆայլեր՝ հետևելով որոշակի ձևաչափերի (ժամանակի դրոշմակնիք, աղբյուրի IP, աղբյուրի նավահանգիստ, նպատակակետ IP, նպատակակետ նավահանգիստ, DNS հարցում/պատասխան, DNS կոդ, DNS qtype, հարցվող տիրույթ):
Հավաքված չլուծված և լուծված տիրույթների լեզվական և իմաստային առանձնահատկությունները այնուհետև հանվում են դրանք խմբավորելու և կոնկրետ բոտը բացահայտելու համար: Այս տեխնիկան շատ ճշգրիտ է շատ ցածր Կեղծ դրական ցուցանիշով:
Այսպիսով, DGA-ի հայտնաբերումը գործիք է բոտնետի վաղ հայտնաբերման և խափանման համար:
Հետևյալ github հղումները շատ օգտակար են տարբեր հատկանիշները հասկանալու համար.
