出处:2019 IEEE 39th International Conference on Distributed Computing Systems (ICDCS)
作者:Kai Lei, Qiuai Fu, Jiake Ni, Feiyang Wang, Min Yang, Kuai Xu
摘要:过去十年见证了恶意互联网域的爆炸式增长,这些域作为建立高级持续威胁命令和控制通信渠道或托管网络钓鱼网站的基础设施。鉴于互联网流量数据的大数据特性以及通过算法生成域并以近乎自动化的方式获取和注册域的能力,实时检测恶意域对于安全分析师和网络运营商来说是一项艰巨的任务。在本文中,我们引入了二分图来捕获终端主机和域之间的交互,识别域的关联 IP 地址,并描述域的 DNS 查询的时间序列模式,并探索这些二分图的单模投影来建模域之间的行为、IP 结构和时间相似性。我们采用图形嵌入技术自动学习超过 10,000 个标记域的动态和区分特征表示,并开发基于 SVM 的分类算法来预测恶意或良性域。我们的模型在适应恶意域不断变化和发展的策略方面取得了进展。实验结果表明,我们提出的算法基于 k 折交叉验证实现了 0.94 的曲线下面积 (AUC)。据我们所知,这是首次将行为建模和图嵌入相结合来有效、准确地检测恶意域
