| Session F1:資通安全及個人資料安全保護管理
論文作者:朱宇豐、詹前隆、潘人豪
現今有做系統的設備電腦或手機越來越普及,這些設備都可以安裝軟體,之中連結網際網路是必備 的功能之一。所以許多惡意軟體也利用這樣常態功 能來達到入侵破壞的能力,但這些惡意軟體需要跟控制端聯繫的技術極為重要,本研究就是針對於惡意軟體跟控制端連結的一種隱匿的技術,此技術是動態產生網域名稱演算法讓資訊安全人員混淆,無法即時或費時去鑑識追蹤控制端來源。
本研究突破舊有的字串亂度或者正常網域名稱字元組合來預測,舊有的方法對於字串亂度低或者對 於字串的組合相似於正常網域名稱就很有可能無法判斷。所以提出之方法是依照惡意軟體產生之網 域名稱萃取特徵值來分群,可以得到每個惡意軟體產生網域名稱特性,依照此特性訓練出機率模型,並且加入正常網域名稱的機率模型來做判斷分類,這樣每個機率模型會有特性,依特性分類得出更有效的判斷依據。經實驗證實對於8 種動態產生網域名稱的惡意軟體有效偵測,並且對於字元組合相似於正常網域名稱的2 個惡意軟體(MATSNU, ROVNIX),特徵值分群,到13 群的時候準確率 (Precision)達到0.9 以上,表示可以偵測到90%以上的動態產生網域名稱。 |
