【论文分享】动态图恶意域名检测：DyDom: Detecting Malicious Domains with Spatial-Temporal Analysis on Dynamic Graphs

• 题目：DyDom: Detecting Malicious Domains with Spatial-Temporal Analysis on Dynamic Graphs
• 链接：https://ieeexplore.ieee.org/document/9780983/?arnumber=9780983
• 源码：
• 会议：2021 IEEE 23rd Int Conf on High Performance Computing & Communications; 7th Int Conf on Data Science & Systems; 19th Int Conf on Smart City; 7th Int Conf on Dependability in Sensor, Cloud & Big Data Systems & Application
• 时间：2021.12
• 机构：中国科学院大学 信息工程研究所 😜
• 摘要：域名系统(DNS)被网络犯罪分子广泛滥用，成为其活动的重要基础设施。因此，恶意域名检测是打击和减轻网络犯罪的一项重要任务。现有的研究通常通过黑名单或手工制作的本地域特征来识别恶意域。然而，黑名单和基于专家知识的特征可以通过精心策划的技术被攻击者绕过，这需要新的检测方法。本文提出了一种智能检测恶意域名的新系统DyDom。该系统的核心思想是对域名的行为及其时间变化进行时空分析，以捕获它们之间的深层关联。在DyDom中，我们首先分析域、客户端之间的交互行为并解析ip，然后生成离散时间动态图来模拟域的时间变化。进一步，采用基于图卷积网络(GCN)和门控循环单元(GRU)的分类器通过分析时空关联来检测恶意域。据我们所知，DyDom是第一个用动态图建模DNS场景并利用时空分析发现恶意域的方法。我们开发了一个DyDom的原型，并在从教育网络收集的真实数据中对其进行评估。实验结果表明了该系统的有效性。