域名濫用行為檢測技術(shù)綜述

樊昭杉 王 青 劉俊榮 崔澤林 劉玉嶺 劉 松

1(中國科學(xué)院信息工程研究所 北京 100093) 2(中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 100049)

隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們生活中不可或缺的重要組成部分.域名系統(tǒng)(domain name system, DNS)是互聯(lián)網(wǎng)的重要技術(shù)支撐，可以為用戶提供便捷和靈活的網(wǎng)絡(luò)服務(wù)，但同時也是網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)和惡意活動的支撐資源，被廣泛地濫用在多種網(wǎng)絡(luò)攻擊中.例如，惡意軟件利用域名來定位其命令和控制(command and control, C&C)服務(wù)器，垃圾郵件包含的惡意鏈接通過DNS將用戶重定向到漏洞利用或網(wǎng)絡(luò)釣魚頁面[1-2].

近年來，域名濫用日趨嚴(yán)重，對網(wǎng)絡(luò)空間安全產(chǎn)生巨大威脅，大量檢測工作隨之涌現(xiàn).學(xué)術(shù)界將散布惡意軟件、操控僵尸網(wǎng)絡(luò)、分發(fā)垃圾郵件、網(wǎng)絡(luò)釣魚和欺詐作為典型域名濫用方式進行研究[1,3-4].其中不乏一些總結(jié)性工作，文獻[5-8]分別從數(shù)據(jù)來源、檢測特征、檢測算法、評估策略以及檢測對抗技術(shù)等角度對現(xiàn)有工作進行梳理，分析域名濫用檢測的縱向技術(shù)演進.然而，尚未有工作針對具體的域名濫用行為總結(jié)現(xiàn)有檢測方法、提供全面的橫向和縱向?qū)Ρ确治?

本文從典型的濫用行為出發(fā)，定義并分類不同的域名濫用檢測場景，提供現(xiàn)有域名濫用行為檢測方法的系統(tǒng)概述，有助于更好地理解當(dāng)前域名濫用檢測技術(shù)的應(yīng)用場景、局限性和發(fā)展方向.

1 背景介紹

1.1 DNS簡介

DNS提供將域名映射到IP地址空間的服務(wù)，由域名空間和資源記錄、名稱服務(wù)器和解析器構(gòu)成.

1) 域名空間和資源記錄.DNS具有層次化的樹狀名稱空間，稱為域名空間，域名空間中的每個結(jié)點具有標(biāo)簽和一組資源記錄.域名是當(dāng)前結(jié)點到根結(jié)點路徑上標(biāo)簽的組合，如圖1所示.

Fig. 1 DNS domain name space圖1 DNS域名空間

2) 名稱服務(wù)器.DNS分布式數(shù)據(jù)庫由多臺名稱服務(wù)器構(gòu)成.每臺名稱服務(wù)器負責(zé)保存域名空間部分結(jié)點的信息，同時提供域名解析服務(wù).根據(jù)解析范圍可劃分為4類：根、頂級、權(quán)威和本地名稱服務(wù)器.

3) 解析器.解析器是請求資源記錄的DNS客戶端程序.DNS支持2種解析方式：遞歸解析和迭代解析.遞歸解析發(fā)生在客戶機向本地名稱服務(wù)器發(fā)起解析請求階段；迭代解析發(fā)生在本地名稱服務(wù)器與其他名稱服務(wù)器通信的過程中，圖2展示DNS解析過程：

Fig. 2 DNS resolution process圖2 DNS解析過程

DNS提高了網(wǎng)絡(luò)的易用性，推動了互聯(lián)網(wǎng)的發(fā)展進程，以DNS服務(wù)為基礎(chǔ)的技術(shù)也不斷涌現(xiàn)，例如泛域名解析和內(nèi)容分發(fā)網(wǎng)絡(luò)(content delivery network, CDN).這些技術(shù)在為互聯(lián)網(wǎng)提供高可用性和高性能的同時，也被攻擊者廣泛應(yīng)用以提高濫用域名的可用性和對黑名單的抵抗能力，這些技術(shù)給域名濫用的甄別和檢測帶來極大的挑戰(zhàn)[5,9].

1.2 域名濫用檢測場景分類

學(xué)術(shù)界和工業(yè)界尚未給出域名濫用的分類標(biāo)準(zhǔn).本節(jié)通過調(diào)研現(xiàn)有域名濫用檢測方案，對現(xiàn)存多種域名濫用行為進行匯總和歸并，提出本文的域名濫用檢測場景分類體系，如圖3所示:

Fig. 3 Taxonomy of domain name abuse detection scenarios based on specific behaviors圖3 基于具體行為的域名濫用檢測場景分類體系

1.2.1 域名濫用行為調(diào)研分析

本文首先調(diào)研學(xué)術(shù)界和工業(yè)界有關(guān)發(fā)現(xiàn)、解釋或緩解DNS生態(tài)系統(tǒng)中域名濫用情況的工作，抽取典型域名濫用行為，匯總得到表1.值得注意的是，本文僅關(guān)注2類域名濫用行為：解析到受控惡意資源、服務(wù)于惡意活動.典型例子有惡意軟件C&C通信、網(wǎng)絡(luò)釣魚.而諸如DNS隧道、DNS放大和拒絕服務(wù)攻擊、DNS劫持等對DNS通訊協(xié)議或DNS基礎(chǔ)架構(gòu)發(fā)動攻擊的DNS威脅，均不在本文的討論范圍內(nèi)，在總結(jié)表1的過程中有針對性地予以剔除.

進一步根據(jù)表1中列舉的域名濫用行為關(guān)鍵詞，從Web of Science核心數(shù)據(jù)庫中篩選出近10年(2010—2020年)領(lǐng)域相關(guān)文獻446篇.使用Citespace工具對域名濫用行為檢測領(lǐng)域的高頻術(shù)語進行共現(xiàn)分析，得到圖4共現(xiàn)關(guān)鍵詞聚類時間軸圖.

Table 1 Summary of the Work Related to Domain Name Abuse

圖4中，時間軸圖以關(guān)鍵詞出現(xiàn)年份為X軸(頂部年份)、關(guān)鍵詞類簇標(biāo)簽為Y軸(右側(cè)標(biāo)簽)，反映該領(lǐng)域的熱點主題.每個類簇的關(guān)鍵詞共享一條時間軸線，軸線上的同心圓表示一個關(guān)鍵詞，同心圓的大小代表出現(xiàn)頻率，同心圓的顏色深淺代表時間跨度，同心圓間的連線代表關(guān)鍵詞共現(xiàn)情況.

從圖4中可以看到，去除掉安全領(lǐng)域、通用領(lǐng)域關(guān)鍵詞類簇標(biāo)簽，可以得到本領(lǐng)域的研究重點包括：惡意軟件、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚、域名搶注、垃圾郵件.從同心圓連線的緊密程度分析，惡意軟件和僵尸網(wǎng)絡(luò)的共現(xiàn)關(guān)系較為緊密，典型共現(xiàn)關(guān)鍵詞包括“Domain-Flux”“Fast-Flux”等，可將面向僵尸網(wǎng)絡(luò)的域名濫用作為惡意軟件的一個子類別進行概述.

Fig. 4 Timeline view of domain name abuse detection co-occurrence keyword clustering圖4 域名濫用行為檢測領(lǐng)域的共現(xiàn)關(guān)鍵詞聚類時間軸圖

1.2.2 構(gòu)建域名濫用檢測場景分類體系

本文以圖4的類簇標(biāo)簽為指導(dǎo)，對表1中存在重疊檢測方案的域名濫用行為，面向檢測場景進行合并：例如，僵尸網(wǎng)絡(luò)C&C、惡意軟件分發(fā)、動態(tài)DNS和濫用CDN都依托于Fast-Flux或Domain-Flux等惡意軟件常用的DNS動態(tài)解析技術(shù)實現(xiàn)，可歸并為惡意軟件場景下的檢測目標(biāo)；假冒電商、影子域名、托管惡意資源、欺詐域等濫用行為，常常通過搶注與流行域相似的域名誘導(dǎo)受害者訪問，可歸并為域名搶注檢測場景下的檢測目標(biāo)；此外，本文增加不限定濫用行為檢測場景，廣泛捕獲多種域名濫用行為，作為其他場景檢測方案的補充.最終確定惡意軟件、網(wǎng)絡(luò)釣魚、域名搶注、垃圾郵件、不限定濫用行為5類典型檢測場景，作為本文的主要研究對象，如圖3所示.

值得注意的是，在本文的分類體系中域名濫用行為存在交叉，例如，垃圾郵件可能包含釣魚鏈接或惡意軟件附件；域名濫用檢測方法往往融合多領(lǐng)域知識，例如，惡意軟件域的檢測可通過逆向工程、監(jiān)聽DNS通信流量等技術(shù)手段實現(xiàn).本文在梳理域名濫用檢測方法時，考慮僅適用于當(dāng)前場景的檢測方法，且僅關(guān)注使用DNS相關(guān)特征的域名濫用檢測技術(shù).

1.3 域名濫用檢測特征及檢測方法概述

當(dāng)前階段，域名濫用檢測的主流技術(shù)方案大多采用機器學(xué)習(xí)方法，關(guān)鍵在于特征工程，即提取區(qū)分濫用域和良性域的檢測特征.本文將濫用域檢測特征歸為6個大類，下面分別進行簡要介紹.

1) 域名字符級特征.從域名字符級組成的角度區(qū)分良性域名與濫用域名.結(jié)構(gòu)特征關(guān)注域名的結(jié)構(gòu)屬性；語言特征捕獲語言模式的偏差；統(tǒng)計特征分析字符構(gòu)成的隨機性；相似度特征考察字符級的相似度.

2) 域名解析特征.從DNS通信流量及應(yīng)答記錄中捕獲異常.記錄特征關(guān)注濫用域資源記錄頻繁改變和資源重用的特點；空間特征考慮濫用域的地理空間分布較為松散的特點；時間特征分析域名的活躍時段、生存時間(time to live, TTL)等與時間相關(guān)的特征.

3) 域名關(guān)聯(lián)特征.基于與已知濫用域有強關(guān)聯(lián)的域很可能是濫用域的假設(shè)，通過分析主機、域名和IP之間的查詢、解析關(guān)系，捕獲潛在濫用域.主要包括主機-域名的查詢關(guān)聯(lián)和域名-IP的解析關(guān)聯(lián)特征.

Table 2 Character Level Features of Domain Name

4) 統(tǒng)一資源定位符(uniform resource locator, URL)特征.常用于網(wǎng)絡(luò)釣魚域名的檢測.字符級特征分析URL的字符組成；訪問特征關(guān)注用戶訪問URL的特點；頁面特征考察域名托管頁面的特點；相似度特征關(guān)注釣魚鏈接與官方鏈接的相似性.

Table 4 URL Features表4 URL特征

5) 域名搶注特征.域名搶注特征主要關(guān)注5類搶注域的典型構(gòu)造方式，包括誤植搶注構(gòu)造特征(替換、增加、刪減流行域名的字符)、字符比特翻轉(zhuǎn)特征、同音字符替換特征、同形字符替換特征、組合搶注構(gòu)造特征(拼接流行域名和常見短語).

6) 輔助信息特征.部分檢測方案借助輔助信息判別濫用域，常用的輔助信息包括：公共情報數(shù)據(jù)、whois信息、域名區(qū)域文件信息等，挖掘這些信息可以輔助域名判別.

基于前述的特征分類，表5匯總5類典型域名濫用檢測場景涉及的主要檢測方法及其檢測特征.以惡意軟件檢測場景為例進行介紹，主要檢測方法可劃分為基于IP-Flux和基于Domain-Flux這2類，其中，基于IP-Flux的具體檢測方案使用的典型特征包括域名字符級特征、域名解析特征、域名關(guān)聯(lián)特征和輔助信息特征四大類別，并列出相應(yīng)的參考文獻.本文將在第2節(jié)進一步梳理各域名濫用檢測場景下的典型檢測方案.

Table 5 Summary of Detection Methods and Typical Features of Domain Name Abuse Detection Scenarios表5 域名濫用檢測場景的檢測方法及典型特征匯總

2 不同場景下的域名濫用檢測

本節(jié)分別針對惡意軟件、網(wǎng)絡(luò)釣魚、域名搶注、垃圾郵件以及不限定濫用行為5類場景下的域名濫用檢測工作進行梳理.其中，每一場景下的檢測工作都依次按照檢測方法、具體檢測方案進行歸并.本節(jié)聚焦檢測技術(shù)的演進過程，提供一個以檢測場景為導(dǎo)向的域名濫用行為檢測工作概述.

2.1 面向惡意軟件的域名濫用檢測

惡意軟件包括蠕蟲、木馬、僵尸程序或其他具有惡意意圖的程序，旨在破壞計算機系統(tǒng)的運行，竊取專有信息或獲得訪問控制權(quán)限.據(jù)AV-Test發(fā)布的最新數(shù)據(jù)顯示，截至2020年底，全球范圍內(nèi)統(tǒng)計到的惡意軟件總數(shù)已超11億，約為2011年的17倍[92].

惡意軟件大多濫用DNS協(xié)議，利用動態(tài)DNS解析技術(shù)(IP-Flux或Domain-Flux)實現(xiàn)受感染主機與C&C服務(wù)器之間的通信.考慮到逆向工程成本較高，許多工作通過分析DNS流量、挖掘惡意通信域名來實現(xiàn)感染主機的檢測以及C&C通道阻斷.下面將惡意軟件檢測場景的研究劃分為兩大類：基于IP-Flux的檢測和基于Domain-Flux的檢測.表6列舉典型檢測工作在面向惡意軟件的域名濫用檢測領(lǐng)域的貢獻及其局限性.

Table 6 Comparison of Typical Domain Abuse Detection Works Oriented to Malware Software表6 面向惡意軟件的典型域名濫用檢測工作的比較

2.1.1 基于IP-Flux的檢測

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(Internet Corporation for Assigned Names and Numbers, ICANN)將IP-Flux(Fast-Flux)描述為“對主機和(或)名稱服務(wù)器資源記錄快速且反復(fù)地更改，使得域名解析為動態(tài)變化的IP地址”.使用IP-Flux技術(shù)構(gòu)建的網(wǎng)絡(luò)，被稱為速變服務(wù)網(wǎng)絡(luò)(fast flux service networks, FFSN).長期以來，IP-Flux技術(shù)被多種惡意軟件濫用，同時也是濫用域名的有力檢測指征.

基于IP-Flux的檢測技術(shù)演進過程概述：早期采用主動DNS探測方案，提取DNS解析特征進行檢測，隨后發(fā)展為被動DNS分析技術(shù)，研究重點在于區(qū)分FFSN和CDN.在持續(xù)的攻防博弈中，攻擊者不斷提高IP-Flux技術(shù)的隱蔽性，檢測算法也相應(yīng)地引入多類檢測特征.現(xiàn)階段，考慮到傳統(tǒng)檢測方案的局限性，學(xué)術(shù)界將深度學(xué)習(xí)算法應(yīng)用于IP-Flux域名檢測.

1) 主動DNS探測方案

主動DNS探測方案通過在固定時間窗口內(nèi)向待檢測域名發(fā)起多次DNS解析請求，提取DNS響應(yīng)特征，構(gòu)造分類器，實現(xiàn)濫用域名的判別.

最早的一篇具有指導(dǎo)性意義的工作是Salusky等人[93]發(fā)表的Honeynet項目論文，他們給出基于IP-Flux的濫用域名檢測問題的實驗建議，提出在固定時間窗口內(nèi)，對域名的DNS解析結(jié)果集進行評分的方案，為后續(xù)主動DNS探測方案奠定基礎(chǔ).2008年Holz等人[16]發(fā)表有關(guān)FFSN的首個實證研究，他們對所有域執(zhí)行2次DNS查詢，從域解析結(jié)果集中提取檢測特征，計算待檢測域的flux分數(shù).該方案借助閾值判定濫用域，無法自適應(yīng)檢測不斷變化的FFSN架構(gòu).

主動探測方案的時間窗口大小對檢測效果影響較大：過小的時間窗口無法獲得足夠的信息，過大的時間窗口則會造成檢測延遲，這種延遲可能會導(dǎo)致攻擊擴散.針對這一問題，Caglayan等人[17]同時使用主動DNS探測和被動DNS監(jiān)聽技術(shù)，利用歷史解析數(shù)據(jù)有效壓縮時間窗口，實現(xiàn)分鐘級別的FFSN檢測.該篇工作引入被動DNS數(shù)據(jù)，具有開創(chuàng)性意義，但本質(zhì)仍屬于主動DNS探測方案.

主動DNS探測方案的優(yōu)點是數(shù)據(jù)收集的靈活性和易用性，可以有針對性地獲取待檢測域名的解析信息；局限性在于會產(chǎn)生過多的網(wǎng)絡(luò)傳輸流量，增加網(wǎng)絡(luò)負擔(dān)，密集的DNS請求易被攻擊者發(fā)現(xiàn).

2) 被動DNS分析方案

被動DNS分析方案主要通過在網(wǎng)絡(luò)中部署被動DNS傳感器或訪問DNS服務(wù)器日志以獲取真實的DNS查詢和響應(yīng)，被動地收集DNS數(shù)據(jù)，相較主動DNS探測方案檢測成本低且較為隱蔽.目前大多數(shù)研究都采用被動分析方案，具體的研究方向包括檢測特征的設(shè)計和檢測算法的改進：

① 檢測特征設(shè)計.許多工作根據(jù)IP-Flux技術(shù)的典型特點進行檢測特征構(gòu)造.文獻[18]關(guān)注到FFSN具有地理分布更均勻和空間服務(wù)關(guān)系更松散的特點，使用空間快照機制取代基于時間的特征，提出一種無延遲的檢測系統(tǒng)SSFD(spatial snapshot Fast-Flux detection)，圖5展示該系統(tǒng)的工作流程.

Fig. 5 System workflow of spatial snapshot Fast-Flux detection (SSFD)圖5 SSFD系統(tǒng)的工作流程

惡意軟件逐漸引入Domain-Flux技術(shù)，Stalmans等人[13]將域名字符級特征融入IP-Flux檢測方案，分析域名的字母數(shù)字分布頻率，計算總變異距離和概率分布來檢測濫用域.此外，隨著IP-Flux隱匿技術(shù)的不斷發(fā)展，常用檢測特征被有針對性地規(guī)避，文獻[14]關(guān)注到攻擊者難以隱藏域名和IP的解析關(guān)聯(lián)，從多樣性、時間性、增長性和相關(guān)性等角度提取多個魯棒檢測特征，在真實DNS流量上檢測準(zhǔn)確率達90%.

考慮到傳統(tǒng)檢測方法的檢測成本較高，Yang等人[19]在特征設(shè)計上拋棄依賴外部資源和不穩(wěn)定的特征，從DNS響應(yīng)中提取檢測特征，訓(xùn)練輕量級檢測模型.并加入自動更新模塊，實時反饋當(dāng)前流量情況，調(diào)整模型參數(shù)適應(yīng)流量變化，從而提高檢測精度.

② 檢測算法改進.隨著IP-Flux技術(shù)的發(fā)展，一些攻擊者通過精心設(shè)計惡意網(wǎng)絡(luò)通信架構(gòu)，可以對一些傳統(tǒng)檢測特征進行有效規(guī)避，例如TTL值、域名字符級組成特點.此外，傳統(tǒng)檢測方案對檢測特征的精確性要求很高，需要領(lǐng)域知識進行指導(dǎo).針對上述問題，研究人員將深度學(xué)習(xí)算法應(yīng)用到濫用域名檢測中，神經(jīng)網(wǎng)絡(luò)模型可以自動實現(xiàn)隱式檢測特征提取并捕獲深層次的異常模式，有效識別濫用域.

文獻[15]直接將域名字符、經(jīng)驗信息、地理和時間相關(guān)特征進行編碼，輸入到長短期記憶(long short-term memory, LSTM)模型中，有效檢測IP-Flux域名.2020年，牛偉納等人[20]則結(jié)合DenseNet模型和BiLSTM模型，同時捕獲IP-Flux域名的空間特征和時序特征，進一步提升檢測精度.此外，Almomani[21]提出一種基于自適應(yīng)演化模糊神經(jīng)網(wǎng)絡(luò)(evolving fuzzy neural network, EFuNN)算法的Fast-Flux追蹤系統(tǒng)，采用有監(jiān)督和無監(jiān)督的混合在線學(xué)習(xí)方案，支持實時在線檢測IP-Flux域名.

深度學(xué)習(xí)方案的性能受限于訓(xùn)練樣本集的大小，在樣本量不夠龐大且人工提取特征已經(jīng)具有較強表征能力的情況下，深度學(xué)習(xí)方案的檢測能力可能弱于傳統(tǒng)機器學(xué)習(xí)方案.文獻[22-23]對比了常見傳統(tǒng)機器學(xué)習(xí)算法以及不同層數(shù)的深度神經(jīng)網(wǎng)絡(luò)(deep neural network, DNN)，實驗證明DNN檢測精度并未隨著隱層層數(shù)的增加而提升，且弱于傳統(tǒng)機器學(xué)習(xí)方案的檢測性能.上述工作說明對于IP-Flux檢測算法的選取，需要依據(jù)檢測特征、樣本集規(guī)模進行靈活選擇.

被動DNS分析方案解決主動探測方案中大量發(fā)送DNS請求導(dǎo)致的網(wǎng)絡(luò)負擔(dān)加重和易被攻擊者發(fā)現(xiàn)的問題；此外，被動收集數(shù)據(jù)可以獲取時間跨度較大的歷史數(shù)據(jù)，支持長期分析.但由于數(shù)據(jù)收集的被動性，無法檢測尚未使用的潛在濫用域.

2.1.2 基于Domain-Flux的檢測

Domain-Flux使用域生成算法(domain generation algorithm, DGA)定期生成大量偽隨機的算法生成域(algorithmically generated domains, AGD)，并將多個AGD映射到單個IP地址，有效規(guī)避靜態(tài)黑名單的檢測.Domain-Flux策略常被濫用在分發(fā)垃圾郵件或?qū)嵤┚W(wǎng)絡(luò)釣魚的僵尸網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中，用于標(biāo)識受害者，或?qū)Ψ蠢]件技術(shù)進行繞過.

基于Domain-Flux的檢測技術(shù)演進過程：早期濫用域名的檢測主要使用傳統(tǒng)檢測方案，利用域名字符級特征，以及典型流量特征對濫用域名加以識別；現(xiàn)階段的研究方案主要使用面向無特征的深度學(xué)習(xí)算法，針對檢測模型的輸入和結(jié)構(gòu)進行改進，并關(guān)注到攻擊者精心設(shè)計的AGD的針對性檢測方案.

1) 傳統(tǒng)檢測方案

早期Domain-Flux域名的檢測主要依賴于統(tǒng)計算法、傳統(tǒng)機器學(xué)習(xí)算法，根據(jù)檢測特征可劃分為基于域名字符級特征和基于典型流量特征2種方案.

① 基于域名字符級特征的檢測方案.考慮到AGD通常較長且無語義信息等特點，抽取DNS流量中的域名信息，構(gòu)造字符級特征，實現(xiàn)濫用域的檢測.

文獻[24]計算待檢測域名在N-gram空間上與良性域和濫用域的相似性，實現(xiàn)濫用域的檢測.該方案需要收集足夠數(shù)量的域名，以準(zhǔn)確估算N-gram分布，檢測成本較高且存在較大的檢測延遲.此外，該方案僅能檢測已知惡意軟件家族的濫用域名.文獻[25]則主要使用域名的長度和域名的期望值2個特征，支持未知AGD家族濫用域的挖掘.

除上述二分類AGD檢測方案外，部分工作支持對AGD域按照具體DGA算法進行多分類.文獻[26]提出的Phoenix系統(tǒng)，使用有意義的字符比率和N-gram正態(tài)分數(shù)2類特征，根據(jù)馬氏距離對檢測域進行分類，進一步構(gòu)建DGA域-IP二部圖，利用DBSCAN算法實現(xiàn)多分類AGD域的檢測.文獻[27]對Phoenix的工作進行了擴展，使用了信息熵、N-gram出現(xiàn)頻率等域名字符級特征，并使用改進的馬氏距離實現(xiàn)域的多分類，圖6給出該檢測系統(tǒng)的整體架構(gòu).

Fig. 6 Structure of the DGA botnet detection system圖6 DGA僵尸網(wǎng)絡(luò)檢測系統(tǒng)的結(jié)構(gòu)

基于域名字符級特征的檢測方案易于被攻擊者繞過：由于DGA的實現(xiàn)方案各有不同，AGD的字符級特征表現(xiàn)也不盡相同，基于Domain-Flux的濫用域通過特征變化可以逃避有針對性的檢測.

② 基于典型流量特征的檢測方案.部分工作通過分析DNS流中的不成功解析域名(NXDomain)響應(yīng)，引入典型流量特征，檢測基于Domain-Flux的惡意軟件類域名.這是由于攻擊者只會注冊DGA算法生成的一小部分域名，用于與被感染機器通信，因此當(dāng)惡意軟件發(fā)起DNS查詢時，會產(chǎn)生大量NXDomain響應(yīng)，以最終定位C&C服務(wù)器.

文獻[28]通過從NXDomain流中提取域名字符級特征以及關(guān)聯(lián)特征，聚類待檢測域名，進一步訓(xùn)練隱馬爾可夫模型(hidden Markov models, HMM)和多分類器，識別濫用域及其所屬家族.該工作采用無需特征工程的HMM模型進行檢測，然而后續(xù)工作[29]證實該方案在多分類檢測中表現(xiàn)不佳.

此外，Zhou等人[40]觀察到使用Domain-Flux技術(shù)的域在子域數(shù)量、域的生存周期以及域的訪問模式方面與合法域存在顯著差異，進一步提出一個僅依賴于流量特征的檢測系統(tǒng)，如圖7所示.該檢測方案不使用域名字符級特征，可以提高檢測方法的魯棒性，但需要更長的時間來確定可疑域列表.

Fig. 7 Structure of detection system based on traditional traffic features圖7 基于典型流量特征的檢測系統(tǒng)架構(gòu)

基于典型流量特征的方案通過檢測NXDomain流，可以壓縮待分析數(shù)據(jù)、有效提高檢測準(zhǔn)確率；該方案的局限性在于提取流量特征會增加檢測時延，此外，多數(shù)方法仍需構(gòu)造字符級特征輔助檢測.

2) 深度學(xué)習(xí)檢測方案

隨著Domain-Flux技術(shù)的不斷發(fā)展，許多DGA算法通過模擬合法域的字符級組成規(guī)避檢測，使得人工設(shè)計的域名字符級檢測特征失效.此外，特征提取和表示工程通常十分繁瑣，無法自適應(yīng)檢測多種DGA算法生成的濫用域名.面對這一挑戰(zhàn)，研究學(xué)者將深度學(xué)習(xí)的方法應(yīng)用到濫用域名檢測中，實現(xiàn)無人工特征提取的檢測方案.這是由于DGA域名的檢測主要依托于對域名字符組成進行分析，可以作為自然語言處理(natural language process, NLP)領(lǐng)域的一個子問題，目前多數(shù)NLP問題都適用于深度學(xué)習(xí)的解決方案.同時互聯(lián)網(wǎng)中存在海量的域名，龐大的數(shù)據(jù)集為深度學(xué)習(xí)模型的訓(xùn)練提供有力的支撐.通過深層神經(jīng)網(wǎng)絡(luò)，可以有效捕獲域名字符的語言模式異常，從而有效判別DGA域名.

最早應(yīng)用深度學(xué)習(xí)的檢測工作是Woodbridge等人[29]利用LSTM模型檢測DGA及其所屬家族，將域名的每個字符作為模型輸入，經(jīng)過嵌入層、LSTM層和邏輯回歸3層處理，得到分類結(jié)果，基于循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network, RNN)的DGA檢測方案大多采用類似的網(wǎng)絡(luò)結(jié)構(gòu).該方案無需人工提取特征，對比以往的工作具有較好的檢測效果.文獻[30]對比隨機森林、LSTM、卷積神經(jīng)網(wǎng)絡(luò)(recurrent neural network, CNN)這3種算法的檢測效果，實驗表明深度學(xué)習(xí)算法相對傳統(tǒng)機器學(xué)習(xí)算法在檢測準(zhǔn)確率上有較大提升，可以更好地處理數(shù)據(jù)中的噪聲.

后續(xù)的檢測工作主要針對模型輸入及模型結(jié)構(gòu)進行相應(yīng)改進，并關(guān)注到攻擊者精心設(shè)計的AGD.

① 模型輸入改進.僅將域名字符序列作為深度學(xué)習(xí)模型的輸入，對基于字典生成的AGD檢測效果不佳.例如，Suppobox家族使用基于字典的偽隨機域名，通過拼接2個字典的單詞創(chuàng)建AGD，這使得域名在字符級別與合法域的差別很小，不足以支撐檢測.針對這一問題，Curtin等人[31]提出了一種名為smashword評分的機制，用于評估域名與英語單詞的相似程度.進一步引入WHOIS信息輔助檢測，可以有效捕獲基于字典的AGD域.此外，Pereira等人[32]使用WordGraph方法獲取DGA的檢測詞典.該方案首先對域名進行分詞預(yù)處理，構(gòu)建WordGraph抽取連通分量，捕獲域名字符級關(guān)聯(lián)信息，得到檢測詞典，進一步訓(xùn)練隨機森林和CNN分類器檢測AGD域.

此外，考慮到感染惡意軟件的主機會查詢大量NXDomain的行為特點，Tong等人[33]將NXDomain作為模型輸入，提出基于CNN模型的檢測系統(tǒng)D3N.在二分類的DGA檢測中，D3N各項指標(biāo)的性能相對傳統(tǒng)機器學(xué)習(xí)方案都有明顯能提升.

② 模型結(jié)構(gòu)改進.受限于樣本標(biāo)注的成本，數(shù)據(jù)集中良性域以及各DGA家族樣本的數(shù)目相差很大.考慮到原始LSTM模型均等對待所有樣本和對樣本類別失衡敏感的問題，文獻[34]提出一種改進的成本敏感算法LSTM.MI，將成本項引入反向傳播機制，給樣本數(shù)多的類別賦予較低的權(quán)值，提升檢測精度.

此外，考慮到現(xiàn)有檢測特征提取思路的單一性，文獻[35-36]均采用CNN和LSTM的混合結(jié)構(gòu)，支持從不同維度提取域名的字符級特征：CNN提取域名的N-gram空間特征、LSTM學(xué)習(xí)N-gram的序列上下文特征.實驗證明混合結(jié)構(gòu)優(yōu)于單一結(jié)構(gòu)的檢測精度，圖8給出文獻[35]的網(wǎng)絡(luò)架構(gòu)示意圖.

Fig. 8 CNN-LSTM based DGA detection network architecture圖8 基于CNN-LSTM的DGA檢測網(wǎng)絡(luò)架構(gòu)

③ 檢測攻擊者精心設(shè)計的AGD.在長期的攻防博弈中，攻擊者通過精心設(shè)計DGA算法生成高隱蔽性、高對抗性的AGD，繞過普通檢測方案，典型的有隱身域生成算法(stealthy domain generation algorithms, SDGA)和對抗DGA樣本.

SDGA由Fu等人[94]提出，他們基于HMM和概率上下文無關(guān)文法(probabilistic context-free grammars, PCFG)從字典中選擇字符，生成模仿良性域名字符分布的SDGA.大多數(shù)傳統(tǒng)的基于熵的方法，或基礎(chǔ)的LSTM，CNN等深度學(xué)習(xí)方案不能有效地檢測SDGA.Yang等人[37]提出一種異構(gòu)深度神經(jīng)網(wǎng)絡(luò)(heterogeneous deep neural network, HDNN)框架.HDNN采用具有多尺寸卷積核的并行CNN架構(gòu)，以及基于自注意力機制的雙向LSTM結(jié)構(gòu)，同時支持提取多尺度局部特征和雙向全局特征，挖掘待檢測域名的深層語義信息，可以有效捕獲SDGA.

一些攻擊者采用對抗性機器學(xué)習(xí)(adversarial machine learning, AML)思想，基于生成對抗網(wǎng)絡(luò)(generative adversarial network, GAN)算法生成對抗DGA樣本.GAN框架包括生成模型和判別模型，生成模型接收隨機噪聲用于生成對抗樣本，判別模型判別給定樣本來自真實數(shù)據(jù)還是對抗樣本，構(gòu)成一個動態(tài)博弈過程.訓(xùn)練收斂時，生成模型可以生成和真實數(shù)據(jù)高度相似的對抗樣本.Anderson等人[38]提出DeepDGA框架，將GAN引入DGA算法.該框架首先在Alexa Top 1M域名上預(yù)訓(xùn)練自動編碼器(編碼器+解碼器)，隨后將編碼器和解碼器在GAN中競爭性重新組裝，最后使用GAN生成器優(yōu)化域名的偽隨機生成，實驗證明DeepDGA得到的對抗DGA樣本可以有效繞過深度學(xué)習(xí)和傳統(tǒng)機器學(xué)習(xí)檢測方案.CharBot[95]，MaskDGA[96]，ShadowDGA[97]等方案也相繼被提出，這些方案生成的對抗DGA樣本既可以被攻擊者作為繞過現(xiàn)有檢測方案的AGD，也可以被防守方作為數(shù)據(jù)增強加入到檢測模型的訓(xùn)練集中，提高對抗未知DGA樣本的檢測能力和模型的泛化能力.2021年，Ravi等人[39]提出一種對抗性防御方案，采用集成深度學(xué)習(xí)模型對NXDomain流量進行檢測，可以有效捕獲DeepDGA，CharBot，MaskDGA這3類對抗DGA樣本，檢測準(zhǔn)確率可達99%以上.

2.2 面向網(wǎng)絡(luò)釣魚的域名濫用檢測

美國計算機應(yīng)急準(zhǔn)備小組將網(wǎng)絡(luò)釣魚定義為一種社會工程形式，通過偽裝成可信賴的組織或?qū)嶓w，使用電子郵件或偽造的網(wǎng)站收集敏感信息并開展惡意活動.根據(jù)反網(wǎng)絡(luò)釣魚工作組(Anti-Phishing Working Group, APWG)2020年第3季度報告[98]，全球范圍內(nèi)的網(wǎng)絡(luò)釣魚站點數(shù)量共計199 133個，仍是網(wǎng)絡(luò)攻擊和詐騙的重要手段之一.

域名濫用與釣魚攻擊聯(lián)系較為緊密，網(wǎng)絡(luò)釣魚者通常會注冊與官方網(wǎng)站相似的域名，或?qū)⑨烎~頁面掛載在權(quán)威域名下，增加釣魚成功率；此外，DNS也是網(wǎng)絡(luò)釣魚者的攻擊目標(biāo)之一，例如DNS緩存投毒攻擊、DNS劫持等，通過攻擊DNS將用戶引導(dǎo)至攻擊者布置好的釣魚界面.因此，從域名處著手是防范和阻止釣魚攻擊的有效方案.

網(wǎng)絡(luò)釣魚網(wǎng)站的檢測按照技術(shù)手段可劃分為基于黑白名單的檢測技術(shù)、基于URL的檢測技術(shù)、基于內(nèi)容的檢測技術(shù)、以及基于視覺相似性的檢測技術(shù).由于本文僅關(guān)注網(wǎng)絡(luò)釣魚類域名的檢測方案，因此著重對涉及域名檢測的黑白名單技術(shù)和URL檢測技術(shù)進行介紹，諸如基于內(nèi)容、視覺相似性等檢測方案，而網(wǎng)頁內(nèi)容的比對不在本文的討論范圍內(nèi).表7列舉了典型檢測工作在面向網(wǎng)絡(luò)釣魚的域名濫用檢測領(lǐng)域的貢獻及其局限性.

Table 7 Comparison of Typical Domain Abuse Detection Works Oriented to Phishing表7 面向網(wǎng)絡(luò)釣魚的典型域名濫用檢測工作的比較

2.2.1 基于黑白名單的檢測

黑白名單技術(shù)是釣魚類域名檢測的早期方案，同時也是部署與應(yīng)用最廣泛的反釣魚技術(shù).

1) 基于黑名單的檢測方案

基于黑名單的檢測方案普遍被各大安全廠商、瀏覽器廠商使用，根據(jù)已知的黑名單對請求的URL進行檢查，如果存在條目匹配，則將該URL標(biāo)注為網(wǎng)絡(luò)釣魚站點，進而限制訪問或生成警告.黑名單一般通過手動報告、鏈接分析或網(wǎng)絡(luò)爬蟲等手段構(gòu)建，因此不可避免地存在遺漏的情況，同時缺乏檢測新釣魚網(wǎng)站的能力.黑名單維護者僅在釣魚網(wǎng)站變?yōu)榛顒訝顟B(tài)時，才能將域名加入黑名單中，因此會存在一個攻擊窗口，在這個窗口內(nèi)濫用域名尚未被黑名單記錄，用戶可能會遭受釣魚攻擊.為了緩解黑名單的滯后檢測問題，Prakash等人[41]于2010年提出了PhishNet，該方案可以基于現(xiàn)有黑名單預(yù)測新的惡意URL，并實現(xiàn)給定URL與黑名單中條目的近似匹配.盡管PhishNet無法實時檢測網(wǎng)絡(luò)釣魚站點，但是它在大型數(shù)據(jù)集上的誤報率較低，并且在標(biāo)記不屬于原始黑名單的新URL方面非常有效.除檢測速度外，覆蓋范圍也是黑名單性能的重要評估指標(biāo)，有助于跟蹤短時間內(nèi)網(wǎng)絡(luò)釣魚威脅的變化軌跡.2014年，Lee等人[42]提出一種主動網(wǎng)絡(luò)釣魚檢測框架PhishTrack，包括重定向跟蹤和表單跟蹤2個組件，主動更新網(wǎng)絡(luò)釣魚黑名單，以提高黑名單覆蓋率，是反網(wǎng)絡(luò)釣魚黑名單技術(shù)的有效補充.

除反網(wǎng)絡(luò)釣魚黑名單更新方案外，還有一些工作對黑名單的防護能力進行了定量的評估，旨在發(fā)掘反網(wǎng)絡(luò)釣魚黑名單技術(shù)的現(xiàn)存問題，為未來的研究方向提供指導(dǎo).2020年，Bell等人[99]調(diào)查了谷歌安全瀏覽(Google safe browsing, GSB)、OpenPhish、PhishTank這3個網(wǎng)絡(luò)釣魚黑名單的釣魚鏈接添加、刪除、持續(xù)時間和重疊情況，并統(tǒng)計每個黑名單中涉及的域名總數(shù).測量實驗發(fā)現(xiàn)，釣魚鏈接平均持續(xù)時間非常短暫，且頻繁出現(xiàn)刪除1天后重新添加的情況，表明釣魚鏈接被過早刪除或存在重新上線的行為，可以作為未來釣魚黑名單構(gòu)筑的一個研究點.Oest等人[100]提出一個識別復(fù)雜網(wǎng)絡(luò)釣魚攻擊的檢測框架PhishTime.PhishTime檢測使用復(fù)雜規(guī)避技術(shù)釣魚站點，并在受控環(huán)境中大量復(fù)制它們作為測試樣本，報告給GSB，SmartScreen，Opera這3個黑名單，通過測量黑名單對測試樣本的平均響應(yīng)時間，分析黑名單的檢測速度和覆蓋范圍.PhishTime進一步討論黑名單對復(fù)用域名進行持續(xù)釣魚攻擊的檢測能力.實驗證實，現(xiàn)有黑名單允許網(wǎng)絡(luò)釣魚者重用域名進行多次攻擊，可以作為優(yōu)化黑名單防御能力的突破點.

2) 基于白名單的檢測方案

考慮到黑名單的檢測延遲導(dǎo)致的攻擊窗口問題，部分工作使用白名單對釣魚網(wǎng)站進行檢測，維護受信任站點的白名單列表，對未知站點請求彈出警示.

文獻[43]提出了一種基于白名單的釣魚網(wǎng)站防護方案，可以阻止用戶訪問已知的釣魚站點，并通過執(zhí)行URL相似性檢查，警示用戶疑似釣魚站點的訪問.該方案是典型的基于靜態(tài)、通用白名單的釣魚檢測方案，局限性在于對外部信任站點列表具有較強依賴性，外部信任站點的準(zhǔn)確性和完整性將會極大影響該類檢測方案的性能.考慮到上述方案的局限性，2008年，Cao等人[44]提出了一種動態(tài)、定制化的白名單方法，根據(jù)用戶的歷史登錄信息創(chuàng)建用戶個人白名單，當(dāng)用戶嘗試提交機密信息到白名單外的網(wǎng)站時發(fā)出警示.相似地，Dong等人[46]提出基于用戶行為的網(wǎng)絡(luò)釣魚檢測系統(tǒng)，將用戶訪問過3遍以上的網(wǎng)站加入個人白名單，并存儲域和用戶憑證的對應(yīng)關(guān)系，進一步使用線性決策函數(shù)判別釣魚域.

考慮到上述自動化白名單構(gòu)建方案存在用戶敏感信息訪問的問題，Azeez等人[45]提出一個基于頁面超鏈接校驗的白名單自動更新方案，當(dāng)用戶訪問未知站點時，抽取未知站點的頁面超鏈接，通過分析是否存在空鏈接、超鏈接總數(shù)以及外部鏈接個數(shù)，判斷站點的性質(zhì)，并將良性站點加入白名單中.

白名單方案提供嚴(yán)格、全面的釣魚網(wǎng)站防護能力，但在獲取合法網(wǎng)站方面有很大的局限性.此外，定制化白名單需要與數(shù)據(jù)庫同步更新、集中維護.

基于黑/白名單的檢測方案存在一個共性缺點，即它們都需要時間來更新列表，存在檢測延遲，同時難以全面覆蓋互聯(lián)網(wǎng)中每日新增的海量鏈接.

2.2.2 基于URL的檢測

基于黑/白名單檢測方案是靜態(tài)的，難以甄別海量新增域名.專家學(xué)者引入機器學(xué)習(xí)的方案，動態(tài)識別潛在釣魚域名：從經(jīng)驗數(shù)據(jù)中總結(jié)規(guī)律，構(gòu)建網(wǎng)絡(luò)釣魚域的檢測模型，實現(xiàn)對未知樣本的有效檢測，典型方案是基于URL的檢測方案.

基于URL的檢測主要通過分析URL的結(jié)構(gòu)以及詞匯特征來檢測網(wǎng)絡(luò)釣魚站點.URL用于標(biāo)識因特網(wǎng)上資源的全球地址，由2個主要部分組成[50]：1)協(xié)議標(biāo)識符，指示要使用的協(xié)議；2)資源名稱，指定資源所在的域名、文件路徑和查詢字符串.如圖9所示：

Fig. 9 Example of URL圖9 URL示例

1) 傳統(tǒng)機器學(xué)習(xí)檢測方案

基于URL的傳統(tǒng)機器學(xué)習(xí)檢測方案，主要是在特征工程上進行創(chuàng)新，通過分析釣魚URL的特性，人工提取鑒別釣魚域的典型特征，提升檢測精度.

早期基于URL的釣魚域檢測方案沿用黑/白名單信息作為證據(jù)特征，并加入有關(guān)域名注冊和DNS解析信息等相關(guān)特征.典型工作有2007年Garera等人[50]使用URL的域名是否屬于白名單，作為鑒別釣魚域的一個顯著特征.文獻[48]則主要使用了URL詞匯特征、域名輔助信息特征和DNS解析特征對釣魚域進行檢測.Garera等人在后續(xù)工作[49]中采用在線學(xué)習(xí)方法，支持檢測模型的自動更新.

早期檢測方案的檢測特征抽取都需要借助外部資源信息，例如黑/白名單或域名的注冊及解析信息，檢測成本較高且存在檢測時延.一些專家學(xué)者仿照域名字符級特征的構(gòu)造方式，直接分析URL字符級組成，常見的檢測特征則包括有意義字符的長度、URL中點的數(shù)量、URL的長度、URL域名中抽取品牌名、多子域、字符熵等特征.典型工作有Zouina等人[51]提出的基于支持向量機和相似度索引的輕量型URL檢測系統(tǒng)，他們主要關(guān)注URL中的域名部分，從中提取出6種特征，檢測精度可達到95.80%，證實URL的字符級特征可以有效鑒別釣魚域.2019年，王雨琪等人[47]定義基元和敏感度描述釣魚URL的語言特征，通過計算主級域名基元的相似性和利用隨機森林算法學(xué)習(xí)子域名的語言特征，對URL進行檢測，在降低誤判率的同時有效減小時間開銷.

為進一步提升檢測精度，HTML特征、文本特征被引入到基于URL的檢測方案中，在保證實時檢測能力和較低檢測成本的同時，提供更精準(zhǔn)的釣魚域鑒別能力.2019年，楊鵬等人[52]提出一種基于Logistic回歸和XGBoost的釣魚域名檢測方案.除URL的字符級特征，他們從站點源碼中提取24個HTML特征，并利用Logisitc回歸訓(xùn)練基于TF-IDF的網(wǎng)頁文本特征，極大壓縮融合特征的維度，最終使用XGBoost算法對釣魚URL進行分類.通過對比不同的特征融合方案和分類算法，證實該檢測方案的優(yōu)越性，在高準(zhǔn)確率的同時兼顧檢測速度.

2) 深度學(xué)習(xí)檢測方案

考慮URL的構(gòu)成比域名更為復(fù)雜，且文件路徑和查詢字符部分完全受控于攻擊者，具有高度動態(tài)變化、生命周期較短和指數(shù)爆炸式增長的特點.傳統(tǒng)機器學(xué)習(xí)方案對檢測特征的依賴性較大、人工構(gòu)造特征的成本較高，且容易被攻擊者繞過，深度學(xué)習(xí)方案被引入到URL檢測領(lǐng)域中.迄今為止，深度學(xué)習(xí)方案在海量數(shù)據(jù)集上表現(xiàn)出強大的學(xué)習(xí)能力，并在多分類問題中取得了最先進的結(jié)果.通過端到端的深度學(xué)習(xí)方案，模型可以自動抽取URL深層次的語義特征，攻擊者難以有效繞過.現(xiàn)階段基于URL的釣魚域檢測方案，主要是在檢測算法上進行改進.

文獻[53]分別在2個數(shù)據(jù)集上測試了基于Bigram特征的Logistic回歸、CNN和CNN-LSTM這3種模型的檢測效果，實驗證明深度學(xué)習(xí)能夠自動提取較好的特征表示，檢測效果優(yōu)于傳統(tǒng)機器學(xué)習(xí)方案.2020年，Wei等人[54]提出一個基于CNN的釣魚URL檢測方案，將URL進行獨熱編碼，通過嵌入層映射為低維稠密向量并輸入到CNN中進行分類，檢測精度高達99.68%.相較于LSTM，基于CNN的方案訓(xùn)練時長壓縮近50%，檢測模型體積小速度快，支持應(yīng)用于內(nèi)存和計算能力有限的移動設(shè)備.對URL直接進行獨熱編碼處理會得到高維稀疏向量，不利于高層語義信息的獲取.一些方案嘗試對待檢測URL進行分詞處理，典型方案有2021年卜佑軍等人[55]提出一種基于敏感詞的URL分詞方案，成分利用URL數(shù)據(jù)信息，并提出一種基于CNN-BiLSTM的檢測方案，可以同時獲取URL的空間特征和長距離依賴特征，捕獲更全面的語義信息.此外，Ozcan等人[56]提出一種新穎的混合深度學(xué)習(xí)模型，結(jié)合基于URL詞法分析的DNN模型和LSTM模型的強大功能，同時支持人工設(shè)計和字符嵌入2類特征的輸入.

近年來，部分工作研究釣魚URL的自動生成方案，用于改善現(xiàn)有檢測方案的性能.Anand等人[57]將基于字符的LSTM作為GAN的基礎(chǔ)結(jié)構(gòu)，生成對抗URL樣本，用于解決典型數(shù)據(jù)集中存在的類不平衡問題.此外，Burns等人[58]在OpenPhish，PhishTank，DNS-BH等黑名單上訓(xùn)練GAN，使用對抗URL樣本擴展訓(xùn)練集，增強模型的泛化能力.實驗證實數(shù)據(jù)增強模型始終比原始分類器的檢測精度高.

2.3 面向域名搶注的域名濫用檢測

域名搶注(cybersquatting)是域名濫用的一種常見方式，攻擊者通過注冊與權(quán)威域名相似的搶注域名，騙取點擊流量或開展網(wǎng)絡(luò)詐騙活動.根據(jù)Proofpoint公布的域名欺詐報告[101]顯示，2018年的第1季度和第4季度之間，搶注域名的季度注冊量增加11%.此外，在Proofpoint提供數(shù)字風(fēng)險保護的客戶中有76%的公司存在搶注域名.本節(jié)首先簡介搶注域名的分類，隨后梳理各類搶注域名的檢測方案.

2.3.1 搶注域名的分類

搶注域名可劃分為5個大類，包括誤植搶注、比特搶注、同音搶注、同形搶注和組合搶注[73].表8以“www.example.com”為例，給出搶注域名的示例.

Table 8 Examples of Cybersquatting Domain Name表8 搶注域名示例

1) 誤植搶注(typosquatting).該搶注指攻擊者注冊常見鍵盤誤操作導(dǎo)致的錯誤域名.誤植域名可以借助原域名的影響力獲取大量的偶然流量，攻擊者通過發(fā)布廣告、網(wǎng)絡(luò)釣魚獲取不法收益.Wang等人[102]給出較為全面的誤植域名構(gòu)造方式，如表8所示.當(dāng)前誤植搶注現(xiàn)象仍然較普遍，也是當(dāng)前研究的熱點.

2) 比特搶注(bitsquatting).如表8所示(將“m”最后1b翻轉(zhuǎn)，可得到“o”)，利用環(huán)境或制造缺陷導(dǎo)致的計算機內(nèi)存隨機單比特位翻轉(zhuǎn)錯誤.在2011年，安全研究人員Dinaburg[64]在黑帽大會上介紹了比特搶注攻擊，他針對8個合法域的31個比特搶注域進行為期8個月的監(jiān)測，統(tǒng)計到12 949個唯一IP地址的共52 317次比特搶注域請求.實驗結(jié)果證明比特搶注域需要引起安全人員重視.

3) 同音搶注(soundsquatting).用同音字符構(gòu)造的搶注域名，依賴于發(fā)音相似的字母或字符串可能彼此混淆的假設(shè)，典型例子如表8中示意的同音詞組[idle，idol].該搶注于2014年由Nikiforakis等人[66]提出，他們將同音搶注定義為字典詞的同音替換，從而與誤植搶注區(qū)分開來.概括來說，同音搶注不依賴于鍵入錯誤，而且并非所有域都可以被同音搶注.

4) 同形搶注(homograph).用同形字符構(gòu)造的搶注域名，依賴于視覺相似的字母或字符串可能彼此混淆的假設(shè)，典型如表8中示意的小寫字母‘l’和大寫字母‘I’，在san-serif字體下，2個字母看起來非常相似.此外，隨著國際化域名(internationalized domain names, IDN)的廣泛使用，不同文字體系下的字母存在視覺一致性，例如，西里爾字母和拉丁字母中的“o”雖然是同形的，卻具有不同的字符編碼，比一般的近形字符更具迷惑性[67].

5) 組合搶注(combosquatting).通過向域名添加幾個短語構(gòu)造搶注域名(表8中示例，在“example”后追加“l(fā)ogin”).從理論上分析，組合搶注域的構(gòu)造空間是無限的，這是由于可拼接的短語是不可枚舉的.此外，組合搶注域最大程度地利用了原始域名的聲譽：首先，組合搶注域名不會破壞被搶注商標(biāo)在字符結(jié)構(gòu)層面的完整性；其次，一些企業(yè)會主動注冊組合域名，以擴大其服務(wù)范圍，使得良性的組合域和濫用的組合搶注域難以區(qū)分.上述2個原因使得組合搶注域較其他4種搶注域名更加難以進行判定[72].

2.3.2 搶注域名的檢測方案

當(dāng)前學(xué)術(shù)界對于搶注域名的檢測，主要是將Alexa排名靠前的站點作為種子，根據(jù)不同類型的搶注域名構(gòu)造方案，生成搶注域名的候選集合.進一步通過主動探測或被動追蹤的方案，確定是否為搶注域名.表9總結(jié)典型檢測工作在面向域名搶注的域名濫用檢測領(lǐng)域的貢獻及其局限性.

1) 誤植搶注的檢測

誤植搶注的檢測方案可劃分為兩大類：一類是基于編輯距離的主動探測方案；另一類是基于編輯距離、時間相關(guān)性以及詞匯相似性的被動檢測方案.

① 主動探測方案.除Wang等人[102]提出的5種誤植域名構(gòu)造方式，文獻[60]提出了相似的方案，即基于編輯距離的3種典型構(gòu)造方案：1 B替換、1 B增加和1 B刪減.文獻[60]的工作選取3個頂級域名(.com，.org，.biz)下的900個知名站點作為原始域名集合，進行誤植域構(gòu)造，最終得到300萬個原始域名變體的候選集.通過主動探測確定原始集合中超過半數(shù)的域名，有35%以上的變體存在于網(wǎng)絡(luò)中，表明現(xiàn)存誤植搶注攻擊的規(guī)模較大.

此外，文獻[61]采用Wang等人[102]的構(gòu)造方案，針對500個流行站點共生成大小為28 179的誤植域名候選集，通過聚類算法結(jié)合人工分析的方案，對候選集中的域名進行合法和濫用性質(zhì)的判別，將品牌商主動注冊的域名標(biāo)注為合法，將存在投放廣告、實施釣魚等濫用行為的域名標(biāo)注為誤植域名.實驗數(shù)據(jù)顯示超過79%的候選域名存在濫用行為，其中投放廣告的誤植域名比例最高.

Table 9 Comparison of Typical Domain Abuse Detection Works Oriented to Cybersquatting表9 面向域名搶注的典型域名濫用檢測工作的比較

② 被動檢測方案.基于編輯距離的主動探測方案存在誤報率較高的問題，例如nhl.com和nfl.com都是良性域，且內(nèi)容都與體育相關(guān)，在基于編輯距離的主動探測中，非常有可能會被劃分為彼此的誤植域名.考慮到上述方案的局限性，Khan等人[59]提出基于條件概率模型的被動檢測方案，使用被動收集的DNS和HTTP流量數(shù)據(jù)挖掘誤植域名，主要關(guān)注用戶訪問某些域名后短時間內(nèi)跳出，隨后訪問名稱相似(域名的編輯距離為1)的更具知名度的域名的流量，從而精準(zhǔn)獲取符合誤植搶注定義的域名，過濾掉良性的相似域名.此外，考慮到基于編輯距離的方案不能充分關(guān)聯(lián)域名的上下文信息的問題，Ya等人[62]提出了TypoEval，利用暹羅神經(jīng)網(wǎng)絡(luò)來學(xué)習(xí)每個域的詞嵌入，進一步使用RNN充分利用域名的上下文信息，并通過計算歐幾里得空間中向量之間的距離來評估誤植域，取得較好的分類效果.考慮到TypoEval模型的復(fù)雜性，Moubayed等人[63]提出一種集成的特征選擇和分類模型來有效鑒別誤植搶注域名.實驗結(jié)果證明，該方案在保證較高檢測精度的同時，特征集大小縮減了50%，且具有較低的計算復(fù)雜度.

2) 比特搶注的檢測

除Dinaburg[64]的工作外，Nikiforakis等人[65]也對比特搶注域進行實驗測量，具體針對Alexa排名前500的站點執(zhí)行任一比特的翻轉(zhuǎn)，生成比特搶注域的候選集，通過爬蟲程序嘗試解析候選域名集中的IP地址.在9個月的實驗中，共記錄了5 366個比特搶注域名，相比于實驗第1天的解析記錄增加了46%，表明比特搶注已經(jīng)逐漸成為域名搶注者的攻擊手段.

3) 同音搶注的檢測

最經(jīng)典的檢測方案是Nikiforakis等人[66]針對Alexa排名前10 000個站點生成8 476個同音域名，通過主動探測和whois信息查詢確定已注冊1 823個同音域(占總域的21.5%)，并對已注冊同音域進行分類，整體劃分為權(quán)威域和搶注域，進一步按照濫用行為細分同音搶注域.實驗結(jié)果表明，用于投放廣告的濫用域占現(xiàn)有同音搶注域的最大部分，共有954個(占已注冊同音域的52.3%).

4) 同形搶注的檢測

早期主要是瀏覽器供應(yīng)商和域名注冊商主導(dǎo)研究，重點探討緩解同形搶注的方案.2006年Holgers等人[67]采用被動網(wǎng)絡(luò)跟蹤和主動DNS探測的方案，量化同形搶注攻擊的危害程度.他們追蹤科研機構(gòu)的網(wǎng)站訪問記錄，在為期9天的實驗中沒有實際檢測到同形搶注域的訪問，一定程度上表明同形搶注在2006年的危害程度較低.進一步通過DNS探測發(fā)現(xiàn)Alexa排名前500個站點的399個同形注冊域名，近60%的站點具有一個或多個同形搶注域，表明同形搶注域仍有較大的研究價值.

隨著IDN的廣泛使用，后續(xù)的工作主要針對同形IDN域名進行研究，Sawabe等人[68]利用光學(xué)字符識別(optical character recognition, OCR)技術(shù)進行同形IDN的檢測，使用目標(biāo)IDN和流行域名列表作為輸入，通過將目標(biāo)IDN轉(zhuǎn)換為圖像，應(yīng)用OCR以檢測該IDN與流行域名的相似程度，從而實現(xiàn)同形IDN域名的判定.文獻[69]主要針對技術(shù)公司和金融機構(gòu)的域名進行了為期8個月的追蹤分析，檢測到2 984個IDN同形候選域，并通過半自動化的方案對候選域進一步標(biāo)注，圖10給出生成候選域流程：

Fig. 10 Schematic diagram of the process of generating IDN homograph candidate domains圖10 生成IDN同形候選域流程

考慮到基于編輯距離、OCR技術(shù)的同形搶注域名的檢測方案會出現(xiàn)較多的誤報，Yu等人[70]提出一種具有最小散列(MinHash)和局部敏感散列(locality-sensitive hashing, LSH)檢索算法的雙通道CNN分類器，進一步應(yīng)用在實際的DNS數(shù)據(jù)中，實驗證明MinHash和LSH算法在減少數(shù)據(jù)量方面表現(xiàn)優(yōu)異.Thao等人[71]則通過融合單字符結(jié)構(gòu)相似性特征以及從N-gram模型中提取的199個語言特征，并采用集成學(xué)習(xí)算法提升同形搶注域名的檢測精度.

5) 組合搶注的檢測

一項經(jīng)典的工作是Kintis等人[72]發(fā)表的組合搶注域名的測量研究，針對組合搶注域進行系統(tǒng)性研究，通過分析從被動和主動DNS數(shù)據(jù)源收集的超過4 680億條DNS記錄，檢測到270萬個針對268個流行商標(biāo)的組合搶注域，并在此基礎(chǔ)上進一步分析組合搶注域在現(xiàn)實世界中的濫用情況.實驗結(jié)果表明，60%的組合搶注域生命周期超過1 000天，與組合搶注域相關(guān)的惡意活動逐年增加，需要引起商標(biāo)擁有者和域名注冊商的廣泛重視.

6) 多類搶注的檢測

除了針對特定類型的搶注域名進行研究，Zeng等人[73]提出了一個全面的搶注域名研究，他們選取786個流行域名，在ISP級的DNS流量中檢測5類搶注域名.實驗結(jié)果顯示盡管誤植搶注占比較大，但組合搶注卻更容易獲得訪問流量.2020年，Loyola等人[74]提出一種面向誤植搶注和組合搶注域名的主動防御方案.首先從檢測到的搶注域名樣本中學(xué)習(xí)其分布規(guī)律，然后自動生成相似的搶注域名候選域，通過主動探測進一步驗證候選域的真實性，發(fā)掘尚未檢測到的惡意搶注域名.此外，Hu等人[75]將域名搶注的研究擴展到移動應(yīng)用生態(tài)系統(tǒng)中，關(guān)注移動客戶端市場中的搶注行為.

2.4 面向垃圾郵件的域名濫用檢測

垃圾郵件泛指未經(jīng)請求而發(fā)送的郵件，支撐的典型惡意行為包括：垃圾廣告、網(wǎng)絡(luò)釣魚以及分發(fā)惡意附件等.根據(jù)Cisco的數(shù)據(jù)[103]，2020年9月全球每日平均垃圾郵件數(shù)量達2 916.7億，占全部電子郵件的84.61%.此外，Verizon的《2019年數(shù)據(jù)泄露調(diào)查報告》顯示垃圾郵件是惡意軟件分發(fā)的第一大媒介.

近年來，由于僵尸程序的成本低，相對容易傳播且難以檢測，垃圾郵件的分發(fā)逐漸遷移到僵尸網(wǎng)絡(luò)上，將該類僵尸網(wǎng)絡(luò)統(tǒng)稱為垃圾郵件僵尸網(wǎng)絡(luò)(spam botnet).通過算法對現(xiàn)有垃圾郵件域和處于注冊階段的新域進行檢測，可以破壞spam botnet的基礎(chǔ)結(jié)構(gòu)，有效阻斷垃圾郵件的傳播.

本文主要關(guān)注基于DNS的垃圾郵件域檢測工作，通過監(jiān)測異常的僵尸網(wǎng)絡(luò)DNS流量或計算郵件域的信譽值等方案捕獲垃圾郵件域.按照是否需要利用僵尸網(wǎng)絡(luò)的DNS活動特征對現(xiàn)有檢測工作進行劃分，得到基于spam botnet的檢測和基于注冊信息的檢測2類方案.表10總結(jié)了典型檢測工作在面向垃圾郵件的域名濫用檢測領(lǐng)域的貢獻及其局限性.

2.4.1 基于spam botnet的檢測

基于spam botnet的檢測方案主要通過分析網(wǎng)絡(luò)流量以及攻擊者行為等特征，實現(xiàn)spam botnet的僵尸主機以及C&C服務(wù)器域名的檢測.該類方案的技術(shù)演進過程：早期主要使用被動DNS分析技術(shù)，實現(xiàn)DNS黑名單日志或監(jiān)控網(wǎng)絡(luò)等有限范圍內(nèi)的垃圾郵件域的檢測；后期逐漸引入主動DNS查詢數(shù)據(jù)，有效擴大垃圾郵件域的檢測范圍并縮小檢測時延.

Table 10 Comparison of Typical Domain Abuse Detection Works Oriented to Spam

1) 被動DNS分析方案

早期的被動DNS分析方案主要從DNS黑名單、被動DNS數(shù)據(jù)庫及其他被動偵聽到的數(shù)據(jù)中，抽取攻擊者行為特征或spam botnet的異常DNS特征，識別有限范圍內(nèi)的垃圾郵件域.

較早的一篇工作是2006年Ramachandran等人[82]通過分析DNS黑名單(DNSBL)的查詢記錄，挖掘僵尸網(wǎng)絡(luò)成員的方案.攻擊者通常會執(zhí)行DNSBL查找以確定僵尸主機是否被列入黑名單，通過分析DNSBL的日志記錄，可以確定分發(fā)垃圾郵件的域及其規(guī)模.該方案的缺點在于不能確定發(fā)現(xiàn)的僵尸主機是否屬于同一僵尸網(wǎng)絡(luò)，此外限制條件較高，將攻擊者執(zhí)行DNSBL查找作為檢測前提.

考慮到上述方案的局限性，文獻[76]提出一種使用網(wǎng)絡(luò)流數(shù)據(jù)和DNS元數(shù)據(jù)來檢測垃圾郵件域的方法.他們使用被動DNS數(shù)據(jù)庫來分析可疑垃圾郵件主機的流記錄以及可疑控制器的DNS元數(shù)據(jù)，提取多種域名解析特征.經(jīng)實驗證明DNS元數(shù)據(jù)分析可以大幅提升檢測精度.該方案的局限性在于攻擊者可通過多種方案，諸如合法化信譽和流量統(tǒng)計信息，或更改通信協(xié)議來規(guī)避檢測特征.此外，該檢測方案需要綜合構(gòu)造多類檢測特征，檢測成本較高.

Vlaszaty等人[77]提出一種簡化方案，即僅通過分析DNS MX(mail exchange)請求，實現(xiàn)監(jiān)控網(wǎng)絡(luò)中垃圾郵件僵尸主機的識別.他們分別通過分析DNS MX的請求頻率、請求周期性、請求熵以及宿主機活躍時段內(nèi)MX流量4種方案捕獲垃圾郵件域.實驗結(jié)果證明僅通過分析DNS MX請求可以識別感染垃圾郵件惡意軟件的主機.然而這項研究的數(shù)據(jù)集中，僅有一個已確認的spam botnet主機，有必要在更大的數(shù)據(jù)集上進一步評估該方案的有效性.2020年，Yoshida等人[78]關(guān)注到垃圾郵件受害者的異常DNS查詢模式：一組FQDN經(jīng)常被一個公共客戶端查詢，以及客戶端出現(xiàn)重復(fù)查詢失敗的情況.他們進一步基于基數(shù)分析，提取客戶端可疑查詢特征，識別多個客戶端對不同域的訪問模式，構(gòu)建決策樹分類模型，實現(xiàn)較低的漏報率和較高的檢測精度.

考慮到前述傳統(tǒng)機器學(xué)習(xí)方案對檢測特征的依賴性較強，需要人工設(shè)計精確有效的檢測特征.此外，傳統(tǒng)機器學(xué)習(xí)方案，例如貝葉斯分類器和決策樹，只能進行淺層次的模型推理，難以擬合現(xiàn)實情況中復(fù)雜多變的spam botnet的行為特點.2020年，Sharma等人[79]引入深度學(xué)習(xí)方案，訓(xùn)練基于前饋多層感知機的垃圾郵件域名檢測模型.他們基于電子郵件日志和權(quán)威DNS記錄抽取檢測特征，輸入到多層感知機中訓(xùn)練分類器模型，最終檢測準(zhǔn)確率高達97%.

被動DNS分析方案的優(yōu)點在于可以獲取監(jiān)控網(wǎng)絡(luò)內(nèi)部真實的DNS流量，支持監(jiān)控網(wǎng)絡(luò)內(nèi)部的垃圾郵件域的挖掘；其局限性在于檢測范圍有限，且需要借助DNS活動特征進行檢測，存在檢測時延.

2) 主動DNS探測方案

spam botnet的規(guī)模一般較大，被動DNS分析的有限檢測范圍無法滿足大型垃圾郵件域的檢測需要，部分工作逐漸引入主動DNS探測方案，有針對性地發(fā)起DNS查詢，實現(xiàn)垃圾郵件域的檢測.

2018年van der Toorn等人[80]使用主動DNS測量來檢測垃圾郵件域.整體檢測框架如圖11所示，他們從OpenINTEL平臺獲取全球60%以上已注冊域名的資源記錄，通過長尾分析提取候選域，進一步使用分類器對候選域進行二分類，將垃圾郵件域添加到實時黑名單列表(RBL)中.實驗證明該檢測方案具有超前檢測未知垃圾郵件域的能力.該方案的缺點在于長尾分析會導(dǎo)致部分垃圾郵件域的漏檢，同時也為攻擊者規(guī)避檢測制造機會.

Fig. 11 Block diagram of spam domain detection圖11 垃圾郵件域檢測框圖

Dan等人[81]考慮到僅使用主動DNS數(shù)據(jù)造成的檢測精度不高的問題，提出一種混合使用主被動數(shù)據(jù)的檢測方案.利用從電子郵件接收日志和主動DNS數(shù)據(jù)中提取的特征，使用SVM分類器對候選域進行二分類，實驗可達到88.09%的準(zhǔn)確率和97.11%精確率，高于van der Toorn等人[80]的方案.此外，他們對重要性排名前10的特征進行分析，發(fā)現(xiàn)有5個是從電子郵件接收日志中提取的特征，進一步證明混合使用主被動數(shù)據(jù)對垃圾郵件域檢測具有較高的研究價值.

主動DNS探測方案的優(yōu)點在于可以有針對性地獲取特定域的動態(tài)解析或資源記錄信息，支持大規(guī)模垃圾郵件域的檢測，可以提前發(fā)現(xiàn)尚未進行垃圾郵件活動的濫用域；其缺點在于無法獲得完整的通信流量，造成檢測精確度的損失，此外，需要預(yù)先構(gòu)造候選域集合進行檢測，容易導(dǎo)致漏檢.

2.4.2 基于注冊信息的檢測

與基于spam botnet的檢測方案不同，基于注冊信息的檢測不使用通信流量特征，而是通過主動DNS探測的手段獲取域名的whois信息或區(qū)域文件中有關(guān)域名注冊的信息以及與已知濫用域的關(guān)聯(lián)，構(gòu)造多維判別特征，實現(xiàn)垃圾郵件域的檢測.

Felegyhazi等人[84]使用來自注冊服務(wù)商和注冊管理機構(gòu)的信息以及公共黑名單中的濫用域，來推斷未被列入黑名單的垃圾郵件域.實驗表明該檢測方案可以比研究中使用的黑名單更早地標(biāo)記垃圾郵件域.其局限性在于區(qū)域文件和whois數(shù)據(jù)庫并不完全開放，或不支持批量訪問，使得檢測方案的可用性受到較大影響.此外，該檢測方案需要預(yù)先觀察到一些相關(guān)域的濫用行為，這意味著該方案僅能減小域名濫用的時間窗口，仍存在檢測時延.

考慮到上述方案的局限性，文獻[83]提出了一種名為PREDATOR的無時延的垃圾郵件域檢測器，可以利用域名注冊時的特征建立域名信譽，實現(xiàn)潛在垃圾郵件域的檢測.文獻[83]的作者具體關(guān)注濫用域名的異常的注冊行為(例如突發(fā)注冊、文本相似的名稱)，從域名注冊信息中抽取并編碼22種有助于區(qū)分垃圾郵件域名與合法域名注冊行為的特征，使用凸多面體機分類待檢測域.實驗證明PREDATOR可以達到70%的精確率，而誤報率僅為0.35%，可以有效阻止DNS域濫用.該方案的局限性在于特征計算較為復(fù)雜，需要多種信息源構(gòu)造檢測特征.

2.5 面向不限定濫用行為的域名濫用檢測

在實際的工作中，只有極少數(shù)黑名單報告特定類型的濫用域，大部分黑名單不區(qū)分具體濫用行為；此外，大部分濫用域的基礎(chǔ)架構(gòu)相似，濫用行為也不唯一，例如僵尸網(wǎng)絡(luò)可同時用于分發(fā)垃圾郵件或布置釣魚站點.基于上述原因考慮，部分工作使用與濫用行為無關(guān)的方法檢測濫用域名，基于域之間不同類型的關(guān)聯(lián)，實現(xiàn)濫用域的檢測，這種技術(shù)也被稱為“關(guān)聯(lián)有罪(guilty by association)”，按照具體的關(guān)聯(lián)方案可劃分為信譽評分和圖推理2類檢測方法.表11總結(jié)了典型檢測工作在面向不限定惡意行為的域名濫用檢測領(lǐng)域的貢獻及其局限性.

2.5.1 基于信譽評分的檢測

基于信譽評分的檢測方案通過為參與惡意活動(例如惡意軟件傳播、網(wǎng)絡(luò)釣魚和垃圾郵件活動)的域分配低信譽分數(shù)，實現(xiàn)濫用域的檢測.

2005年Weimer等人[104]發(fā)表了一篇基礎(chǔ)性工作，提出使用被動DNS記錄來檢測多種濫用域的觀點.文獻[85]率先使用被動DNS數(shù)據(jù)，構(gòu)建名為Notos的DNS動態(tài)信譽系統(tǒng)，從被動數(shù)據(jù)中提取域名字符級特征和解析特征，并通過已有威脅情報提取證據(jù)特征，采用離線訓(xùn)練-在線檢測的模型架構(gòu)、離線訓(xùn)練信譽評分系統(tǒng)、在線計算新域名的信譽得分，實現(xiàn)濫用域檢測.文獻[9]進一步提出EXPOSURE系統(tǒng)，該系統(tǒng)支持從大規(guī)模被動DNS記錄中提取域名解析和字符級特征，構(gòu)建J48決策樹檢測濫用域名.實驗結(jié)果表明，EXPOSURE可以自動識別未知的濫用域，比Notos所需的訓(xùn)練時間和訓(xùn)練數(shù)據(jù)更少，具有更高的檢測精度.

2.5.2 基于圖推理的檢測

信譽評分的可靠性嚴(yán)重依賴于檢測特征提取的有效性，需要專家信息作為指導(dǎo)，同時需要不斷動態(tài)調(diào)整檢測特征以適應(yīng)于復(fù)雜多變的域名濫用技術(shù).考慮到上述局限性，部分專家學(xué)者從圖結(jié)構(gòu)中受到啟發(fā)，嘗試通過對域名進行關(guān)聯(lián)，根據(jù)已知結(jié)點推導(dǎo)出未知結(jié)點的性質(zhì)，被稱為基于圖推理的檢測方案.這類檢測方案主要關(guān)注域名的結(jié)構(gòu)關(guān)聯(lián)信息，通過主機查詢域名或域名解析IP構(gòu)建有效的域名關(guān)聯(lián).具體而言，基于圖推理的檢測傾向于從DNS流量中提取圖模型，利用全局關(guān)聯(lián)挖掘潛在的濫用域，按照圖模型中使用的結(jié)點可劃分為：主機-域二部圖、域-IP二部圖以及主機-域-IP異構(gòu)圖三大類.

Table 11 Comparison of Typical Domain Abuse Detection Works Oriented to Unrestricted Abuse Behaviors

1) 主機-域二部圖

文獻[90]將濫用域名檢測問題建模為圖推理問題，通過分析DNS查詢?nèi)罩?，?gòu)建主機-域的二部圖(如圖12所示)，進一步應(yīng)用信念傳播評估圖中未知域為濫用域的邊際概率，實現(xiàn)濫用域的檢測.該方案需要使用主機查詢域的訪問請求信息，涉及到用戶隱私無法大規(guī)模部署.

Fig. 12 Example of host-domain graph圖12 主機-域二部圖示例

2) 域-IP二部圖

考慮資源有限情況下，攻擊者會進行資源重用，Khalil等人[91]從被動DNS數(shù)據(jù)中提取域名-IP解析關(guān)聯(lián)特征，構(gòu)建無向域解析二部圖表示域和IP的解析關(guān)系，隨后依據(jù)二部圖構(gòu)建一個無向加權(quán)域圖，結(jié)點是二部圖中的域，邊的權(quán)重由域解析到同一IP地址的次數(shù)決定，并基于與已知濫用域具有強關(guān)聯(lián)的域很可能是惡意的假設(shè)，在關(guān)聯(lián)域上使用基于圖推理技術(shù)，從而實現(xiàn)濫用域的檢測，如圖13所示：

Fig. 13 Example of domain-IP graph and its corresponding domain graph圖13 域-IP二部圖及相應(yīng)域圖示例

域解析為相同的IP，即co-IP關(guān)聯(lián)，是一種弱關(guān)聯(lián)，沒有考慮互聯(lián)網(wǎng)中域名部署的復(fù)雜方式，尤其是公共網(wǎng)絡(luò)托管和代理服務(wù)可能會導(dǎo)致毫不相關(guān)的域名被托管在同一個IP池中，導(dǎo)致檢測精度較低.為了克服co-IP關(guān)聯(lián)的弱點，2020年Nabeel等人[86]通過構(gòu)建分類器區(qū)分專用托管IP和公共托管IP，并提出一種基于IP的域名強關(guān)聯(lián)方案：①共享一個專用IP；②共享來自不同托管服務(wù)提供商的多個公共IP.實驗證明，該檢測方案可以有效提升檢測精度.

此外，Liang等人[87]考慮到現(xiàn)有域圖構(gòu)建方案無法處理孤立域名結(jié)點，提出一種結(jié)合單個域名特征(域名字符級特征、域名解析記錄特征)和域名-IP關(guān)聯(lián)特征的檢測方案MalPortrait.MalPortrait相較于普通方案增加全局關(guān)聯(lián)信息，彌補數(shù)據(jù)缺乏導(dǎo)致域名信息量不足的缺點，且對被動數(shù)據(jù)時間跨度的依賴性較小.對比其他基于域圖的方案，MalPortrait可以有效解決孤立域名結(jié)點難以分類的問題.

3) 主機-域-IP異構(gòu)圖

Sun等人[88]于2019年提出的HinDom系統(tǒng)，將DNS場景建模為一個異構(gòu)信息網(wǎng)絡(luò)(HIN)，該網(wǎng)絡(luò)由主機、域、IP地址及它們之間的6種關(guān)系組成，HinDom采用基于元路徑的直推分類，能夠僅使用一小部分標(biāo)記樣本來檢測濫用域，圖14給出異構(gòu)圖的示例(圖14(a))以及圖模式說明(圖14(b)).將HinDom系統(tǒng)與樸素貝葉斯、支持向量機和隨機森林3種歸納分類方法進行比較，實驗證明直推分類在初始標(biāo)簽信息的比例降低時，仍能保持較為穩(wěn)定的檢測精度，較歸納分類方案性能優(yōu)異.

Fig. 14 Example of host-domain-IP HIN and graph pattern[88]圖14 主機-域-IP異構(gòu)圖示例及圖模式[88]

考慮到HinDom系統(tǒng)僅使用全局關(guān)聯(lián)信息，而忽略對單個域名結(jié)點的屬性特征提取的問題，Liu等人[89]提出一種基于動態(tài)圖卷積網(wǎng)絡(luò)(dynamic graph convolutional network, DGCN)的檢測方案Ringer. Ringer充分利用主機-域名的查詢關(guān)聯(lián)和域名-IP的解析關(guān)聯(lián)構(gòu)建域圖，并采用DGCN方案在域圖上學(xué)習(xí)集成結(jié)點特征和圖結(jié)構(gòu)信息的結(jié)點表示，送入全連接神經(jīng)網(wǎng)絡(luò)中進行域名分類.實驗證實，在服務(wù)提供商的真實DNS數(shù)據(jù)上，Ringer在檢測精度和檢測速度上都有優(yōu)異的表現(xiàn).

3 討論與展望

近年來涌現(xiàn)出大量工作旨在阻止或消除域名濫用行為，對改善DNS系統(tǒng)的生態(tài)環(huán)境做出了明顯的貢獻，但當(dāng)前的檢測能力與互聯(lián)網(wǎng)上的域名濫用情況之間仍存在差距.本節(jié)將進一步討論多檢測場景下域名濫用行為檢測研究面臨的挑戰(zhàn)與未來的研究方向：

1) 研究高動態(tài)、強對抗場景下的檢測技術(shù)，應(yīng)對濫用技術(shù)的演進

攻擊者為提高濫用域名的可用性和對黑名單的抵抗能力，各檢測場景下的域名濫用技術(shù)均呈現(xiàn)出高度動態(tài)發(fā)展的趨勢，旨在規(guī)避現(xiàn)有檢測技術(shù).攻防博弈日趨激烈，呈現(xiàn)出強對抗的形態(tài).當(dāng)前各場景下的域名濫用檢測難點主要包括：面向惡意軟件的域名濫用檢測場景下，攻擊者提出基于字典詞構(gòu)造低隨機性、高可讀性域名的方案，并引入對抗樣本生成技術(shù)規(guī)避檢測[31-32,38-39,95-97]；在面向網(wǎng)絡(luò)釣魚的域名濫用檢測場景下，攻擊者嘗試多種高對抗性的URL混淆技術(shù)規(guī)避檢測[57-58]，或通過Blackhat SEO技術(shù)提高釣魚鏈接在搜索引擎結(jié)果中的頁面排名[10]；在面向域名搶注的域名濫用檢測場景下，攻擊者針對國際化域名進行同形搶注攻擊，瀏覽器防御規(guī)則或一些OCR技術(shù)無法抵御這類搶注攻擊[68-70]；在面向垃圾郵件的域名濫用檢測場景下，攻擊者使用不同的注冊模式，并通過匿名注冊服務(wù)提供商模糊其注冊信息，這類混淆方案會對基于注冊信息的檢測造成較大影響[83-84]；在面向不限定濫用行為的域名濫用檢測場景下，對于在大量通信流量中潛伏期較長、少通信關(guān)聯(lián)的濫用域尚缺乏檢測能力[86-88,91].此外，考慮到未來DNS通信技術(shù)的發(fā)展，惡意攻擊者的攻擊目標(biāo)和手法不斷變化，對傳統(tǒng)檢測和防護方案提出新挑戰(zhàn)，域名濫用行為檢測需要引入新的技術(shù)方案.

2) 研究跨檢測場景的域名濫用檢測技術(shù)，應(yīng)對檢測場景的融合

隨著網(wǎng)絡(luò)惡意攻擊的日趨體系化，域名作為重要的支撐資源，通常會貫穿整個惡意活動的始終，呈現(xiàn)出域名濫用行為檢測場景融合的趨勢.在載荷投遞、安裝植入和命令與控制階段，都可以通過多類域名濫用達成實施攻擊或建立通信的惡意目標(biāo).例如，一個魚叉式釣魚攻擊活動，可能涉及垃圾郵件域、網(wǎng)絡(luò)釣魚域、惡意資源下載域，以及惡意軟件C&C通信域的協(xié)同.面對跨檢測場景的域名濫用行為，如何有效針對多種濫用行為建立相對統(tǒng)一的檢測模型，或根據(jù)一些捕獲的濫用域，迅速定位其他潛在域名濫用行為，提出行之有效的復(fù)合性檢測方案，是學(xué)術(shù)界和工業(yè)界亟待解決的問題.

3) 研究新基建場景的域名濫用檢測技術(shù)，應(yīng)對濫用模式的遷移

隨著國家對于新基建的日益重視，域名DNS作為一類基礎(chǔ)設(shè)施已經(jīng)部署到各種新基建場景中，同時也面臨惡意軟件、釣魚站點、域名搶注、垃圾郵件等各類域名濫用行為的威脅.域名濫用行為檢測場景應(yīng)全方位覆蓋移動端、物聯(lián)網(wǎng)終端、云平臺等基礎(chǔ)設(shè)施.同時，研究人員需要針對新基建下的濫用行為特點、不同網(wǎng)絡(luò)環(huán)境中的DNS通信流量特征、計算資源分配情況進行針對性地調(diào)整現(xiàn)有域名檢測技術(shù).目前已有檢測方案通過捕獲DNS流量異常檢測基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)[105]、移動終端的惡意軟件[106]；此外，還有一些解決方案關(guān)注軟件定義網(wǎng)絡(luò)(software defined network, SDN)架構(gòu)下基于DNS的拒絕服務(wù)攻擊防御、檢測和緩解技術(shù)[107-108].

4 總 結(jié)

隨著互聯(lián)網(wǎng)上惡意活動的興起，網(wǎng)絡(luò)攻擊者將DNS系統(tǒng)納入其攻擊活動的支撐資源，域名濫用行為已經(jīng)得到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注.本文對域名系統(tǒng)的工作方式及其擴展技術(shù)進行概述，并從具體行為出發(fā)構(gòu)建本文的域名濫用檢測場景分類體系，梳理惡意軟件、網(wǎng)絡(luò)釣魚、搶注域名、垃圾郵件以及不限定濫用行為5種典型場景下的域名濫用檢測工作，重點闡述了各類域名濫用檢測方案的演進過程，為域名濫用行為檢測提供了一個以檢測場景為導(dǎo)向的總結(jié)性工作.

作者貢獻聲明：樊昭杉調(diào)研整理文獻，統(tǒng)計分析數(shù)據(jù)，設(shè)計論文框架，撰寫和修訂文章；王青調(diào)研文獻，修訂、審查及討論文章；劉俊榮對文章的知識性內(nèi)容進行審閱；崔澤林調(diào)研文獻，核對校稿；劉玉嶺對文章的知識性內(nèi)容進行審閱，提出指導(dǎo)意見；劉松對文章的知識性內(nèi)容進行審閱.所有作者都審閱并批準(zhǔn)了最終稿件.