Краткий список исследовательских работ, которые я прочитал или планирую прочитать, в которых используются данные пассивного DNS (PDNS) и графическая аналитика для выявления вредоносных доменов.

Графики хост-домена

Графы доменов хоста - это двудольные графы, отображающие хосты / IP-адреса на домены, которые они либо разрешили (пассивный DNS), либо посетили (журналы веб-прокси). Эти графики широко используются в статьях по машинному обучению оперативной безопасности при поиске сетевых угроз, поскольку они дают представление о поведенческих моделях на предприятии или интернет-провайдере.

Обнаружение вредоносных доменов с помощью графического вывода
П. К. Манадхата, С. Ядав, П. Рао и У. Хорн.
В материалах 19-го Европейского симпозиума по исследованиям в области компьютерной безопасности, Вроцлав, Польша, 7–11 сентября 2014 г.

Обнаружение ранней стадии заражения предприятий путем анализа крупномасштабных данных журнала
Алина Опря, Чжоу Ли, Тинг-Фанг Йен, Санг Х. Чин и Сумья Альрвайс
В материалах Международной конференции IEEE / IFIP по надежным системам и сетям (DSN), 2015 г.

Segugio: эффективное отслеживание на основе поведения доменов, контролирующих вредоносное ПО в крупных сетях интернет-провайдеров
Бабак Рахбариния и Манос Антонакакис
В материалах Международной конференции IEEE / IFIP по надежным системам и Сети (DSN), 2015 г.

Графики разрешения доменов (графики IP-доменов)

График разрешения доменов - это неориентированный двудольный граф, представляющий наблюдаемое разрешение доменного ›IP DNS на основе данных пассивного DNS.

Notos: создание динамической системы репутации для DNS
М. Антонакакис, Р. Пердиши, Д. Дагон, У. Ли и Н. Фимстер.
В материалах 19-го симпозиума по безопасности USENIX, Вашингтон, округ Колумбия, США, 11–13 августа 2010 г.

ВОЗДЕЙСТВИЕ: Обнаружение вредоносных доменов с помощью пассивного анализа DNS
Л. Бильге, Э. Кирда, К. Крюгель и М. Бальдуцци.
В материалах симпозиума по безопасности сетей и распределенных систем, Сан-Диего, Калифорния, США, февраль 2011 г.

Обнаружение вредоносных доменов с помощью пассивного анализа графов данных DNS
Исса Халил, Тинг Ю и Бей Гуань.
В материалах 11-й Азиатской конференции ACM по компьютерной и коммуникационной безопасности (ASIA CCS ‘16), 2016 г.

–Джейсон
@jason_trost

Формат коротких ссылок был вдохновлен серией Четыре короткие ссылки Oreilly.

Первоначально это было опубликовано 14 августа 2017 года в моем личном блоге, размещенном здесь.