提升了大範圍活動的理解
區分激活和隱藏的活動
對某個活動的行爲模式分析
大多數的惡意註冊由少數人引發
一個重複的信息往往註冊很多域名
安全研究嚴重以來blocklist
屬於某個活動(藍色)和非活動(紅色)的每日註冊比例,虛線是最高點
首先在同一個時間段內註冊的域名更具嫌疑,要想辦法找到其子集的共同點,其註冊信息是關鍵
email address, the address info, the registrar, the registrant name
下面選取兩個屬性來可視化說明
比如地區和郵件提供商,不同大小的hotspots 聚成了不同的活動,
那麼這些獨特的組合,往往就可以起到關鍵的識別作用(其實就是指紋信息)
收集了14個月註冊的所有域名,包括惡意以及正常
如果有一個類(使用類似信息),並且其中的大量域名都進了黑名單,那麼他就被標記爲一個新的惡意活動
最終得到了20個不同的惡意活動。,見下表
黑⚪代表有相同的字符串string
五角星代表有同一的表達式expression
具體的匹配算法沒有交代。
20個惡意活動的時間記錄
線代表持續時間
點代表域名註冊日
1.因爲要發動一個惡意活動,一定會有對某個域名的大量請求。
他們首先會有一個準備階段,也就是大量請求發生之前的階段,這個階段可長可短。
可以看到不同的惡意活動,往往有着不同的行爲模式。
B1,B2明顯一致,B3在很早就被攔截(作者沒有推測具體原因)
A在註冊之後立馬進行了惡意活動,後面會詳細談A
將 blacklist行爲與惡意活動爆發的時間差別來分了四類
改了後面的表格
那麼爲了得到這個表格,就需要知道哪些域名參與的活動。
爲此作者設計了一種基於爆發式DNS請求的主動測量方法
下面對此部分測量方法進行介紹
首先爲了修正時間偏移,能在不同的時間偏移下找到相同的模式,首先將相應域名的DNS請求都偏移到域名註冊的一定時間之後
對於不同的DNS請求記錄record type and country , request originated from給與不同的權重並且計算,稱之爲標準化過程。
通過標準化過程來保證相似的請求總是在一起的,而離異點被突出出來。(無圖)
然後要使用DTW算法來計算不同域名行爲相似度。例如剛剛的兩個B1和B2就是這麼處理出來的
並且計算不同域名的活躍等級(計算公式沒有說),後面要用到
那麼判斷一個域名是否是潛伏的,這個閾值如何尋找,是0訪問呢,還是有1個倆個也算呢,作者找了13,873個惡意域名和13,873和正常域名。
分別計算其活躍度。
繪製概率分佈圖,可以發現B這種有明顯的閾值,
然而對於其他持續增長或者急速上升的情況,就不能這麼明顯
經過深思熟慮,作者決定採用0.0020 to 0.0250作爲一個寬閾值,如圖左邊爲潛伏,右邊爲活躍。寬閾之間有15%的數據不計入統計
每種惡意活動的域名註冊以及利用策略是有區別的,直接影響着blacklist的抓取效果
以A爲例,作者稱爲hit and run,不是每次利用之前註冊新域名,而是每次發現自己的域名進入黑名單後,立馬註冊一批新的域名進入準備階段。
類似策略的有ACD。
B、E採用的是囤積策略,一次註冊大量域名,持續利用。B註冊時產生了間斷可能是由於proactive blacklisting,像這種情況並不少見,由於某些註冊信息過於明顯,註冊的時候立馬被拉黑
比如一月30,422個惡意活動A立馬被拉黑,五月8日,759個惡意活動D立馬被拉黑。
同時,blacklisting,以及安全研究行爲、域名註冊,三者之間都有交互關係。
假設可以失效