Skip to main content
QUICK REVIEW

[論文レビュー] HinDom: A Robust Malicious Domain Detection System based on Heterogeneous Information Network with Transductive Classification

Xiaoqing Sun, Mingkai Tong|arXiv (Cornell University)|Sep 4, 2019
Network Security and Intrusion Detection被引用数 24
ひとこと要約

HinDom は、クライアント、ドメイン、IPアドレスを含む複数の関係タイプを持つ非同質情報ネットワーク(HIN)としてDNS活動をモデル化する、耐障害性の高いマルウェアドメイン検出システムである。メタパスに基づくトランスductive分類を用いることで、わずか10%のラベル付きデータでも高い精度(F1スコア:0.9902)を達成し、実世界のネットワークで未知のマルウェアドメイン(例:MsraMinerボットネット)を検出可能である。

ABSTRACT

Domain name system (DNS) is a crucial part of the Internet, yet has been widely exploited by cyber attackers. Apart from making static methods like blacklists or sinkholes infeasible, some weasel attackers can even bypass detection systems with machine learning based classifiers. As a solution to this problem, we propose a robust domain detection system named HinDom. Instead of relying on manually selected features, HinDom models the DNS scene as a Heterogeneous Information Network (HIN) consist of clients, domains, IP addresses and their diverse relationships. Besides, the metapath-based transductive classification method enables HinDom to detect malicious domains with only a small fraction of labeled samples. So far as we know, this is the first work to apply HIN in DNS analysis. We build a prototype of HinDom and evaluate it in CERNET2 and TUNET. The results reveal that HinDom is accurate, robust and can identify previously unknown malicious domains.

研究の動機と目的

  • 進化するマルウェアドメインを検出するための従来の特徴ベースおよびブラックリスト手法の限界に対処すること。
  • 検出モデルの学習に大量の手動ラベル付きデータに依存することを減らすこと。
  • ドメイン、クライアント、IPアドレス間の構造的関連性を活用することで、検出の耐障害性を向上させること。
  • DNSトラフィックにおける意味的関連性分析を通じて、以前に知られていなかったマルウェアドメインの早期検出を可能とすること。
  • CERNET2 や TUNET などの実世界のネットワーク環境に適した実用的で展開可能なシステムの開発

提案手法

  • クライアント、ドメイン、IPアドレスの4種類のノードタイプと6つの異なる関係を有する非同質情報ネットワーク(HIN)としてDNSトラフィックをモデル化すること。
  • ドメイン間の多様な構造的関連性を捉えるために、複数のメタパス(例:クライアント-クエリ-ドメイン-解決-IP)を定義すること。
  • 複数のメタパス上でPathSimを用いてドメイン類似度を計算し、Laplacian Scoreを用いて融合してマルチビュー表現を生成すること。
  • LLGC や GNetMine をインspired したメタパスベースのトランスductive分類法を適用し、ラベルなしデータを活用して一般化性能を向上させること。
  • ノイズを低減し、実世界での展開における効率を向上させるためにフィルタリングルールを統合すること。
  • 行列乗算と隣接行列を用いたグラフベースの計算により、構造的関係を通じてラベルを伝搬させること。

実験結果

リサーチクエスチョン

  • RQ1非同質情報ネットワークは、マルウェアドメイン検出のための複雑なDNS関係を効果的にモデル化できるか?
  • RQ2メタパスに基づくトランスductive分類は、大量のラベル付きデータに依存することなく、高い検出精度を維持できるか?
  • RQ3HinDom は、公開ブラックリストに掲載されていない以前に未知のマルウェアドメインを検出できるか?
  • RQ4動的でノイズの多いトラフィックを示す実世界のネットワーク環境において、HinDom はどの程度の性能を示すか?
  • RQ5署名ベースの手法ではなく、構造的関連性を用いることで、長期間にわたり隠れていたスパイクボットネットをHinDomは同定できるか?

主な発見

  • 90%のデータがラベル付きの場合、HinDom はF1スコア0.9902、精度0.9960を達成し、優れた性能を示した。
  • わずか10%のラベル付きサンプルでも、F1スコア0.9116、精度0.9626を維持し、低監視環境下でも耐障害性が確認された。
  • システムは、公開ブラックリストに掲載されていなかったが、公表以前に数か月も前にMsraMinerマイニングボットネットのドメインを正常に検出できた。
  • CERNET2 および TUNET において、高精度でマルウェアドメインを同定し、既知のボットネットの以前に検出されていなかった変種も特定した。
  • 専門家による検証で、検出結果の信頼性が確認され、一部のマルウェアドメインは数か月も前から発見されていた。
  • 教育ネットワークにおける実世界の実用性が実証され、従来のシステムが見逃していた脅威を検出できた。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。