The 39th IEEE International Conference on Distributed Computing Systems (ICDCS 2019)将于2019年7月7日至7月10日,在美国德克萨斯州达拉斯举行。ICDCS是分布式计算系统相关领域的研究人员和其他专业人士的重要国际会议,也被CCF推荐为计算机体系结构方向的B类会议。

 

17级付求爱同学在雷凯老师和徐快老师指导下,完成一篇长文” Detecting Malicious Domains with Behavioral Modeling and Graph Embedding”,并已确认被ICDCS 2019录用!中稿论文的简介如下:

 

论文标题: Detecting Malicious Domains with Behavioral Modeling and Graph Embedding

 

论文作者: Kai Lei, Qiuai Fu, Jiake Ni, Feiyang Wang, Min Yang, Kuai Xu*

 

英文摘要: The last decade has witnessed the explosive growth of malicious Internet domains which serve as the fundamental infrastructure for establishing advanced persistent threat command and control communication channels or hosting phishing Web sites. Given the big data nature of Internet traffic data and the ability of algorithmically generating domains and acquiring and registering the domains in a near-automated fashion, detecting malicious domains in real-time is a daunting task for security analysts and network operators. In this paper, we introduce bipartite graphs to capture the interactions between end hosts and domains, identify associated IP addresses of domains, and characterize time-series patterns of DNS queries for domains, and explore one-mode projections of these bipartite graphs for modeling the behavioral, IP-structural, and temporal similarities between domains. We employ graph embedding technique to automatically learn dynamic and discriminative feature representations for over 10,000 labeled domains, and develop an SVM-based classification algorithm for predicting malicious or benign domains. Our model makes the progress towards adapting to the changing and evolving strategies of malicious domains. The experimental results have shown that our proposed algorithm achieves an area under the curve (AUC) of 0.94 based on k-fold cross-validation. To the best of our knowledge, this is the first effort to apply the combination of behavioral modeling and graph embedding for effectively and accurately detecting malicious domains.

 

中文简介: 恶意软件攻击以入侵干扰用户计算机系统和窃取信息为目的,是网络安全的主要

威胁之一。为了逃避检测和增强攻击效果,近年来攻击者在恶意软件攻击中滥用 DNS。

大量恶意域名被生成并滥用于僵尸网络、 APT 攻击和钓鱼网站等恶意软件中。 检测恶

意域名成为发现和阻止恶意软件攻击扩散的关键。 现有的恶意域名检测普遍采用机器

学习的方法。然而这些研究使用人工提取域名特征, 严重依赖人力和专业知识, 并且有

些特征容易过时和被攻击者逃避。

本文提出了一种基于 DNS 行为和图嵌入的恶意域名检测方法。 首先, 本文使用二

分图对域名的主机交互行为、域名的 IP 解析行为和域名的时序模式进行建模,接着使

用单模映射和相似度计算得到三种域名行为相似度图。 这三种行为相似度图揭示了恶

意域名之间的行为关联性。 随后,本文提出了一种基于图嵌入的域名特征学习方法。该

方法在域名相似度图上自动学习域名的向量表示,并将这些表示向量作为域名的特征

向量,用于后续基于分类的恶意域名检测和基于聚类的恶意域名类簇挖掘分析。 不同

于以往研究从 DNS 流量中人工提取域名特征,本文基于域名的 DNS 行为特性,使用

图嵌入方法自动学习域名的向量表示,这些向量保留了恶意域名的行为特性和行为关

联性,能有效地应用于恶意域名检测,并且更具稳定性和健壮性。

本文从真实的校园网 DNS 流量中标记了约一万个域名,其中包括约 30%的恶意域

名和 70%的正常域名,并训练 SVM 分类器以检测恶意域名。 实验结果显示,在 10 折

交叉验证下,本文的恶意域名检测算法的 AUC 值为 0.94,优于已有研究工作。本文还

使用聚类方法挖掘域名类簇,实验结果表明本文方法能有效地挖掘恶意域名。