本文提出FProbe的是一种旨在通过利用共现矩阵和宽松关联规则的检测隐蔽DGA的技术,不但具有基于行为检测的鲁棒性,还具有在低查询率多域名访问的场景下的检测能力。我们利用一种简单的直觉,即DGA查询在时间特征和空间特征方面具有很强的关联性。FProbe利用产品推荐领域和词频共现领域中普遍使用的共现矩阵,进一步使用图卷积的监督方法来聚类受感染的主机,特别是通过该矩阵,我们可以在低查询率的域名请求场景中快速有效地定位被感染的主机,而不是因其低阈值而丢弃该域名,然后我们使用频繁序列树的宽松关联规则对关联域名进行聚类,并使用监督学习用于确定恶意的聚类簇。FProbe在校园网络(峰值负载小时内有4000位活跃用户)中进行了评估,实验结果(准确度为98.4%,平均误报率为0.18%)说明了效率和FProbe的准确性。

• 单位
  中国科学院信息工程研究所; 中国电子科技集团公司第十五研究所