无DGA知识的BotNet生成域的发现/预测

Question

我会在我的问题中提出学术观点，但我欢迎任何意见。因此，僵尸网络将生成1000秒的域/日，而实际的攻击者将注册一些域/天，这将以一定的概率使用。重点是，给定一个有一百万个域的数据集，而没有DGA ()的知识，是否有任何技术/研究可以预测域是一个bot生成的域的可能性？我有自己的几个想法想出一个：

1. 排除字典词域
2. 包括看似随机/垃圾/任意大的域名
3. 交叉检查DNS信息以获得可能的注册信息等。

遗憾的是，我找不到任何关于这一领域的标准研究/文本。任何信息都是有帮助的。

Answer 1

你的三个想法都不适用：

1. 排除字典词域有使用字典词域的DGA，例如马斯努
2. 包含看似随机/垃圾/任意大的域名-- DGA已经生成了绝对合法的域名，特别是在这个“无服务器”托管和短暂域名的时代。
3. 交叉检查DNS信息的可能注册信息等。没有办法告诉合法和非合法的客户域名注册人提供匿名。

然而，有一个GitHub存储库，它收集来自各种DGA的输出，试图使用机器学习来识别可信和可能的恶意DGA生成的域。