PREDATOR: Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration

2016CCS

摘要

不法分子每天注册数千个新域名，以发起互联网规模的攻击，例如垃圾邮件，网络钓鱼和偷渡式下载。快速准确地确定域名的声誉（与恶意活动的关联）提供了一种强大的工具来缓解威胁和保护用户。然而，现有的域名信誉系统通过观察域使用（例如，查找模式，托管的内容）来工作 - 为时已晚，以防止不法分子获得他们发起的攻击的好处。

作为这些系统的补充，我们探索了域名注册中明显的功能在多大程度上表明域名随后被用于恶意活动。我们开发了PREDATOR，这种方法仅使用注册时间功能来建立域名声誉。我们的设计基于直觉，即歹徒需要获得许多域以确保盈利能力和攻击敏捷性，从而导致异常的注册行为（例如，突发注册，文本相似的名称）。我们使用二级.com和.net域名的注册日志评估PREDATOR超过五个月。 PREDATOR的检测率达到70％，误报率为0.35％，从而使其成为防止滥用DNS域的有效且早期的第一道防线。它在注册时预测恶意域，这通常比现有DNS黑名单早几天或几周。

知识点

域名注册

• 注册人（寻求获取域名的个人或公司）
• 注册商（例如GoDaddy）
• 注册管理机构（例如Verisign）

研究点的提出

目前识别恶意域名方法：使用DNS查找的特征来区分合法域和恶意域；爬取网页发现恶意内容来识别。它们使用的特定资源和有利位置提供对跨时间的各种攻击的有限可见性，因此可能错过某些域的恶意活动；现有系统主要在恶意活动已经开始之后获得域名声誉，从而延迟检测。 当现有信誉系统将域添加到黑名单时，该域可能已被广泛滥用；由于现有的声誉系统无法阻止恶意域名注册，因此攻击者会继续注册新的恶意域名，即使他们的旧域名被列入黑名单，也可以维持诈骗活动。

需要一个持续、有效、自动、基于域名特点检测的系统

数据集

论文内容

PREDATOR

PREDATOR (Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration)

• 网络运营商可以采取适当的措施来保护其网络。 例如，电子邮件服务器可以预先列出灰名单[(即暂时拒绝）包含可疑新注册域名的电子邮件，并在一段时间后请求重新递送（此时网络运营商可以收集更多证据以做出最终决定，例如 检查域托管的内容）。
• 注册管理机构或注册服务商在批准预测声誉较低的域名注册之前，可能需要更严格的文档或验证（例如，验证支付工具）。
• 执法和安全专业人员可以优先考虑调查工作并及早删除恶意网站

PREDATOR构建困难点：

• 基于委托的注册商和托管基础设施
• 名称本身的结构特征
• 先前的注册历史
• 与注册突发的相关性来识别特征
• 缺少背景知识

区域更新中获取注册信息（ DNZA文件提供域注册的实时提要）
**运行模式 ** 离线训练模式和在线操作模式
**特征 ** 域配置文件功能（WHOIS和域名）、注册历史功能（DomainTools）、批量关联功能（同一注册商注册并在同一时期内的域。 这些信息可在注册商或注册管理机构获得）

**实时操作 ** 在新的域注册后，我们提取相应的功能并将它们合并到分类器中；生成分数来划分

22个详细特征

实验内容

创新点

• 提出基于域注册时明显的功能来建立域名信誉的方法，该功能可以提供对潜在恶意域的早期检测。
• 利用22个特征来区分域名注册行为中滥用注册者
• 将上述特征利用与监督机器学习算法来展现出一个全面的视角
• 使用五个月的二级.com和.net域名注册日志对PREDATOR进行全面的实证评估，证明其对补充现有黑名单的有效性。