[论文解读] HinDom: A Robust Malicious Domain Detection System based on Heterogeneous Information Network with Transductive Classification
HinDom 是一种鲁棒的恶意域名检测系统,将DNS活动建模为异构信息网络(HIN),结合客户端、域名和IP地址,并支持多种关系类型。通过基于元路径的归纳分类方法,即使仅使用10%的标注数据,也能实现高精度(F1得分:0.9902),从而在真实网络中检测出此前未知的恶意域名,如MsraMiner僵尸网络。
Domain name system (DNS) is a crucial part of the Internet, yet has been widely exploited by cyber attackers. Apart from making static methods like blacklists or sinkholes infeasible, some weasel attackers can even bypass detection systems with machine learning based classifiers. As a solution to this problem, we propose a robust domain detection system named HinDom. Instead of relying on manually selected features, HinDom models the DNS scene as a Heterogeneous Information Network (HIN) consist of clients, domains, IP addresses and their diverse relationships. Besides, the metapath-based transductive classification method enables HinDom to detect malicious domains with only a small fraction of labeled samples. So far as we know, this is the first work to apply HIN in DNS analysis. We build a prototype of HinDom and evaluate it in CERNET2 and TUNET. The results reveal that HinDom is accurate, robust and can identify previously unknown malicious domains.
研究动机与目标
- 解决传统基于特征的方法和黑名单机制在检测不断演变的恶意域名时的局限性。
- 减少对大规模人工标注数据集的依赖,以训练检测模型。
- 通过利用域名、客户端和IP地址之间的结构关联,提升检测的鲁棒性。
- 通过DNS流量中的语义关联分析,实现在早期检测出此前未知的恶意域名。
- 开发一种实用且可部署的系统,适用于CERNET2和TUNET等真实网络环境。
提出的方法
- 将DNS流量建模为异构信息网络(HIN),包含四种节点类型:客户端、域名、IP地址,以及六种不同的关系类型。
- 定义多种元路径(例如:Client-Query-Domain-Resolve-IP),以捕捉域名之间的多样化结构关联。
- 通过在多个元路径上使用PathSim计算域名相似性,再利用Laplacian Score融合多视角表示。
- 采用受LLGC和GNetMine启发的基于元路径的归纳分类方法,利用未标注数据以提升泛化能力。
- 集成过滤规则以减少噪声,提升真实环境部署中的效率。
- 使用基于图的计算方法,通过矩阵乘法和邻接矩阵传播结构关系中的标签。
实验结果
研究问题
- RQ1异构信息网络能否有效建模复杂DNS关系,以实现恶意域名检测?
- RQ2基于元路径的归纳分类能否在减少对大规模标注数据依赖的同时,保持高检测精度?
- RQ3HinDom能否检测出未列于公共黑名单中的未知恶意域名?
- RQ4HinDom在具有动态和噪声流量的真实网络环境中表现如何?
- RQ5HinDom能否通过结构关联而非基于特征的方法,识别出隐蔽且长期潜伏的僵尸网络?
主要发现
- 当90%的数据被标注时,HinDom的F1得分为0.9902,准确率为0.9960,表现出强劲性能。
- 即使仅使用10%的标注样本,HinDom的F1得分仍保持在0.9116,准确率为0.9626,证明其在低监督设置下的鲁棒性。
- 该系统成功检测出MsraMiner挖矿僵尸网络,包括未列于任何公共黑名单中的域名,且在公开披露前数月即被发现。
- 在CERNET2和TUNET中,HinDom以高精度识别出恶意域名,包括已知僵尸网络的先前未被发现的变种。
- 专家验证确认了检测结果的可靠性,部分恶意域名的发现时间比实际公开披露提前数月。
- 该系统在真实教育网络中展现出实用性,检测到传统系统所遗漏的威胁。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。