อัลกอริทึมการสร้างโดเมน (DGA) เป็นอัลกอริทึมที่พบในมัลแวร์ หลายตระกูล ซึ่งใช้ในการสร้าง ชื่อโดเมนจำนวนมากเป็นระยะๆเพื่อใช้เป็นจุดนัดพบกับเซิร์ฟเวอร์ควบคุมและสั่งการจำนวนจุดนัดพบที่มากมายทำให้หน่วยงานบังคับใช้กฎหมายยากที่จะปิดกั้นบอทเน็ต ได้อย่างมีประสิทธิภาพ เนื่องจากคอมพิวเตอร์ที่ติดมัลแวร์จะพยายามติดต่อชื่อโดเมนเหล่านี้ทุกวันเพื่อรับการอัปเดตหรือคำสั่ง การใช้การเข้ารหัสแบบกุญแจสาธารณะในโค้ดมัลแวร์ทำให้หน่วยงานบังคับใช้กฎหมายและผู้กระทำความผิดอื่นๆ ไม่สามารถเลียนแบบคำสั่งจากผู้ควบคุมมัลแวร์ได้ เนื่องจากเวิร์มบางตัวจะปฏิเสธการอัปเดตใดๆ ที่ไม่ได้ลงนามโดยผู้ควบคุมมัลแวร์ โดยอัตโนมัติ

ตัวอย่างเช่น คอมพิวเตอร์ที่ติดไวรัสอาจสร้างชื่อโดเมนหลายพันชื่อ เช่นwww.<gibberish>.comและพยายามติดต่อโดเมนบางส่วนเพื่อรับการอัปเดตหรือคำสั่ง

การฝัง DGA แทนที่จะเป็นรายการโดเมนที่สร้างขึ้นก่อนหน้านี้ (โดยเซิร์ฟเวอร์ควบคุมและสั่งการ) ในไบนารีที่ไม่ได้เข้ารหัสของมัลแวร์ จะช่วยป้องกันการดัมพ์สตริงที่อาจถูกป้อนเข้าสู่เครื่องมือแบล็คลิสต์เครือข่ายเพื่อพยายามจำกัดการสื่อสารขาออกจากโฮสต์ที่ติดเชื้อภายในองค์กร

เทคนิคนี้ได้รับความนิยมจากตระกูลเวิร์มConficker .a และ .b ซึ่งในตอนแรกสร้างชื่อโดเมนได้ 250 ชื่อต่อวัน ต่อมาใน Conficker.C มัลแวร์จะสร้างชื่อโดเมน 50,000 ชื่อทุกวัน โดยจะพยายามติดต่อ 500 ชื่อ ทำให้เครื่องที่ติดมัลแวร์มีโอกาส 1% ที่จะได้รับการอัปเดตทุกวัน หากผู้ควบคุมมัลแวร์ลงทะเบียนโดเมนเพียงหนึ่งชื่อต่อวัน เพื่อป้องกันไม่ให้คอมพิวเตอร์ที่ติดมัลแวร์อัปเดตมัลแวร์ หน่วยงานบังคับใช้กฎหมายจะต้องลงทะเบียนชื่อโดเมนใหม่ 50,000 ชื่อทุกวัน จากมุมมองของเจ้าของบอทเน็ต พวกเขาต้องลงทะเบียนเพียงหนึ่งหรือสองโดเมนจากหลายโดเมนที่บอทแต่ละตัวจะสอบถามทุกวันเท่านั้น

เมื่อไม่นานมานี้ เทคนิคนี้ได้รับการนำไปใช้โดยผู้เขียนมัลแวร์รายอื่น ตามข้อมูลจากบริษัทรักษาความปลอดภัยเครือข่ายDamballa ตระกูล มัลแวร์อาชญากรรมที่ใช้ DGA ที่แพร่หลายที่สุด 5 อันดับแรกได้แก่ Conficker, Murofet, BankPatch, Bonnana และ Bobax ในปี 2011 ^{[ 1 ]}

DGA ยังสามารถรวมคำจากพจนานุกรมเพื่อสร้างโดเมนได้อีกด้วย พจนานุกรมเหล่านี้สามารถเขียนโค้ดไว้ในมัลแวร์หรือนำมาจากแหล่งข้อมูลสาธารณะได้^{[ 2 ]}โดเมนที่สร้างโดย DGA พจนานุกรมมักจะตรวจจับได้ยากกว่าเนื่องจากมีความคล้ายคลึงกับโดเมนที่ถูกต้องตามกฎหมาย

def generate_domain ( year : int , month : int , day : int ) -> str : """สร้างชื่อโดเมนสำหรับวันที่ที่กำหนด""" domain = ""สำหรับi ในช่วง( 16 ): ปี= (( ปี^ 8 * ปี) >> 11 ) ^ (( ปี& 0xFFFFFFF0 ) << 17 ) เดือน= (( เดือน^ 4 * เดือน) >> 25 ) ^ 16 * ( เดือน& 0xFFFFFFF8 ) วัน= (( วัน^ ( วัน<< 13 )) >> 19 ) ^ (( วัน& 0xFFFFFFFE ) << 12 ) โดเมน+= chr ((( ปี^ เดือน^ วัน) % 25 ) + 97 )โดเมนที่ส่งคืน+ ".com"

ตัวอย่างเช่น ในวันที่ 7 มกราคม 2557 วิธีนี้จะสร้างชื่อโดเมนขึ้นมาintgmxdeadnxuyla.comในขณะที่วันถัดมาจะส่งคืนaxwscwsslmiagfah.comค่า ตัวอย่างง่ายๆ นี้ถูกใช้โดยมัลแวร์อย่างCryptoLockerก่อนที่จะเปลี่ยนไปใช้รูปแบบที่ซับซ้อนกว่าเดิม

ชื่อ โดเมน DGA ^{[ 3 ]}สามารถถูกบล็อกได้โดยใช้บัญชีดำ แต่การครอบคลุมของบัญชีดำเหล่านี้ไม่ดี (บัญชีดำสาธารณะ) หรือไม่สอดคล้องกันอย่างมาก (บัญชีดำของผู้จำหน่ายเชิงพาณิชย์) ^{[ 4 ]}เทคนิคการตรวจจับแบ่งออกเป็นสองประเภทหลัก ได้แก่ แบบตอบสนองและแบบเรียลไทม์ การตรวจจับแบบตอบสนองอาศัยเทคนิคการจัดกลุ่มแบบ ไม่กำกับดูแล และข้อมูลตามบริบท เช่น การตอบสนอง NXDOMAIN ของเครือข่าย^{[ 5 ]} ข้อมูลWHOIS ^{[ 6 ]}และ DNS แบบพาสซีฟ^{[ 7 ]}เพื่อประเมินความถูกต้องของชื่อโดเมน ความพยายามล่าสุดในการตรวจจับชื่อโดเมน DGA ด้วย เทคนิค การเรียนรู้เชิงลึกประสบความสำเร็จอย่างมาก โดยมีคะแนน F1มากกว่า 99% ^{[ 8 ]}วิธีการเรียนรู้เชิงลึกเหล่านี้มักใช้สถาปัตยกรรมLSTMและCNN ^{[ 9 ]}แม้ว่าการฝังคำเชิง ลึกจะ แสดงให้เห็นถึงศักยภาพที่ดีในการตรวจจับ DGA ในพจนานุกรม^{[ 10 ]}อย่างไรก็ตาม วิธีการเรียนรู้เชิงลึกเหล่านี้อาจมีความเสี่ยงต่อเทคนิคที่เป็นปฏิปักษ์^{[ 11 ] [ 12 ]}

• ซุส (ม้าโทรจัน)
• บอทเน็ตศรีซบี

• Phillip Porras ; Hassen Saidi; Vinod Yegneswaran (19 มีนาคม 2009). "การวิเคราะห์ตรรกะและจุดนัดพบของ Conficker"ศูนย์ภัยคุกคามมัลแวร์ห้องปฏิบัติการวิทยาศาสตร์คอมพิวเตอร์นานาชาติ SRI สืบค้นเมื่อ 14 มิถุนายน 2013{{cite web}}: CS1 maint: บริการเก็บถาวรที่เลิกใช้แล้ว ( ลิงก์ )
• Lucian Constantin (27 กุมภาพันธ์ 2012). "ผู้เขียนมัลแวร์ขยายการใช้อัลกอริทึมสร้างโดเมนเพื่อหลีกเลี่ยงการตรวจจับ" . PC World . สืบค้นเมื่อ14 มิถุนายน 2013 .
• Hongliang Liu, Yuriy Yuzifovich (2017-12-29). "การแข่งขันตัดสินชี้ชะตาของอัลกอริทึมการสร้างโดเมน" . Akamai Technologies . สืบค้นเมื่อ2019-03-15 .
• DGA ในมือของอาชญากรไซเบอร์ - การตรวจสอบความก้าวหน้าล่าสุดในเทคนิคการหลบเลี่ยงมัลแวร์
• DGA และอาชญากรไซเบอร์: กรณีศึกษา
• วิธีที่อาชญากรปกป้องเครือข่ายที่ผิดกฎหมายของพวกเขา, Abuse.ch