DNS流量挖掘与机器学习：一种僵尸网络检测系统

"这篇学术论文发表在沙特国王大学学报，主要探讨了基于DNS流量挖掘的僵尸网络检测方法，利用机器学习技术构建了一个系统。该系统着重于识别使用域名生成算法（DGA）的恶意域名，以对抗僵尸网络的威胁。DGA是一种策略，使得恶意软件能够生成大量随机域名，以此隐藏命令与控制（CC）服务器的位置，逃避传统防御机制的检测。" 文章指出，僵尸网络由受感染的设备组成，这些设备受到BotMaster的远程控制，可能涉及计算机、移动设备甚至公共系统。恶意软件使受感染设备成为执行非法任务的“僵尸”，如信息盗窃或发动网络攻击。由于僵尸网络的分布式特性，检测和防御变得尤为复杂。 研究提出了一种新的方法，该方法依赖于评估DNS请求的语言质量，提取15个与域名词汇相关的特征，包括随机性、稀有度和打字难度等。这些特征用于区分恶意和合法域名。系统在来自不同源和7个独特DGA僵尸网络家族的DNS请求上进行了测试，结果显示其在检测DGA域方面的准确率高达99.1%，假阳性率仅为0.6%。 此研究强调了机器学习在应对网络安全挑战中的潜力，特别是在检测那些使用DGA的隐蔽僵尸网络方面。通过这种方式，可以更有效地识别和阻止恶意活动，提高网络安全保护能力。此外，该系统的设计和实施为未来的研究和改进提供了基础，有助于进一步发展僵尸网络的防御策略。