DGADOMAIN GENERATION ALGORITHMS A SYSTEM AND METHOD FOR DETECTING DOMAIN GENERATION ALGORITHMS DGAs USING DEEP LEARNING AND SIGNAL PROCESSING TECHNIQUES

The present invention provides a system for detecting domain names showing domain generation algorithm (DGA) like behaviors from a stream of domain name system (DNS) records and a method thereof. 이 문서는 DNS(Domain Name System) 레코드들의 스트림으로부터 DGA(Domain Generation Algorithm) 유사 거동들을 나타내는 도메인 명칭들을 검출하는 시스템 및 방법을 설명한다. 특히, 본 문서는, DGA 거동을 나타내는 도메인 명칭들을 갖는 것으로 결정된 필터링된 DNS 레코드들이 SFC(series filter-classifier) 모듈에 제공되기 전에 DNS 레코드들의 스트림을 수신 및 필터링하기 위한 DL-C(deep learning classifier) 모듈을 포함하는 시스템을 설명한다. 다음으로, SFC 모듈은 소스 IP, 목적지 IP 및 시간에 기초하여 레코드들을 다양한 계열로 그룹화한다. 각각의 계열에 대해, 이는 다음으로 계열의 지배적인 DGA 특성들을 나타내지 않는 레코드들을 필터링 제거한다. 마지막으로, 각각의 계열에 대해, DGA 발생의 시계열을 생성하고, 다음으로 이러한 발생의 시계열을 사용하여 분석 기간 전체에 걸쳐 DGA 버스트의 수를 결정하기 위해 나머지 DNS 레코드의 타임스탬프를 사용한다. 다음으로, AE-C(autoencoder-classifier)는 시간 기간에 걸쳐 상관들을 분석함으로써, DGA 발생들의 그 대응하는 시계열에 기초하여 DGA 레코드들의 각각의 계열에 일관성 점수들을 할당한다. 다음으로, FSA(frequency spectrum analyser) 모듈이 사용되어 DGA 발생들의 시계열을 주파수 스펙트럼으로 변환한 후, 각각의 DGA 레코드들의 계열 내에서 발생하는 주기적인 DGA 버스트들을 식별한다. 다음으로, SFC 모듈에 의해 생성되는 가능한 DGA 도메인 명칭들의 계열 및 다른 보강 상세들과 함께 FSA 및 AE-C 모듈들에 의해 생성되는 정보는 경보 모듈에 전달되고, 경보 모듈은 다음으로 이 정보를 사용하여 보강된 DGA 경보들을 제시하고 우선순위화한다.