핵심 개념
本研究提出了DomainDynamics系統,能夠通過考慮網域名稱的生命週期階段來預測其被用於攻擊的風險。
초록
本研究提出了DomainDynamics系統,旨在通過考慮網域名稱的生命週期階段來提高對惡意網域的檢測能力。
DomainDynamics的主要步驟如下:
- 構建網域名稱的時間線,記錄WHOIS記錄、SOA記錄和TLS證書等隨時間變化的特徵。
- 在每個時間點提取這些特徵,並使用監督式機器學習模型對網域名稱的風險進行預測。
- 模型訓練時使用實際的惡意網域作為正樣本,並根據是否在預測期內被用於攻擊來標記標籤。
- 在預測階段,對目標網域名稱應用訓練好的模型,生成該網域名稱在未來一段時間內被利用的風險時間線。
- 使用SHAP解釋方法分析每個時間點的風險預測,識別影響最大的特徵。
在對超過85,000個實際惡意網域的評估中,DomainDynamics在7天預測期內實現了82.58%的檢測率,同時保持了0.41%的低假陽性率,顯著優於之前的研究和商業服務。
통계
在7天預測期內,DomainDynamics對惡意網域的檢測率達到82.58%。
DomainDynamics的假陽性率為0.41%。