基于双向LSTM的误植域名滥用检测方法

doi:10.3969/j.issn.0372-2112.2018.09.006

电子学报 ›› 2018, Vol. 46 ›› Issue (9): 2081-2086.DOI: 10.3969/j.issn.0372-2112.2018.09.006

基于双向LSTM的误植域名滥用检测方法

吕品^1,2, 李全刚¹, 柳厅文¹, 宁振虎³, 王玉斌^1,2, 时金桥¹, 方滨兴^4,1

1. 中国科学院信息工程研究所, 北京 100093;
2. 中国科学院大学网络空间安全学院, 北京 100049;
3. 北京工业大学信息学部, 北京 100124;
4. 电子科技大学广东电子信息工程研究院, 广东东莞 523808

收稿日期:2017-06-15 修回日期:2017-11-26 出版日期:2018-09-25
- 通讯作者:
- 李全刚
- 作者简介:
- 吕品男,1982年9月出生于河北省曲阳县.现为中国科学院大学网络空间安全学院、中国科学院信息工程研究所在读博士研究生,高级工程师,主要研究方向为信息安全、网络安全监测。E-mail:lvpin@iie.ac.cn;柳厅文 男,1986年5月出生于安徽省临泉县.2013年博士毕业于中国科学院大学.现为中国科学院信息工程研究所副研究员,主要研究方向为大数据分析与知识发现等.E-mail:liutingwen@iie.ac.cn;宁振虎 男,1983年9月出生于河北省邯郸市.现为北京工业大学信息学部讲师,主要研究方向为信息安全和可信计算。E-mail:nzh41034@163.com;王玉斌 男,1991年8月出生于河北省保定市.中国科学院信息工程研究所在读博士生,主要研究方向为大数据分析.E-mail:wangyubin@iie.ac.cn;时金桥 男,1978年1月出生于黑龙江省哈尔滨市.2007年博士毕业于哈尔滨工业大学.现为中国科学院信息工程研究所正研级高工,博导,主要研究方向为大数据安全与隐私保护等.E-mail:shijinqiao@iie.ac.cn;方滨兴 男,1960年7月出生于黑龙江省哈尔滨市.现为中国工程院院士、电子科技大学广东电子信息工程研究院教授,主要研究方向计算机系统结构、信息安全等。E-mail:fangbx@iie.ac.cn
- 基金资助:
- 国家重点研发计划 (2016YFB0801003）; 东莞市引进创新科研团队计划资助 (No.201636000100038）

Towards Typosquatting Abuse Detection using Bi-directional LSTM

LÜ Pin^1,2, LI Quan-gang¹, LIU Ting-wen¹, NING Zhen-hu³, WANG Yu-bin^1,2, SHI Jin-qiao¹, FANG Bin-xing^4,1

1.School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China;
2.Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
3.Faculty of Information Technology, Beijing University of Technology, Beijing 100124, China;
4.University of Electronic Science and Technology Guangdong Institute of Electronic Information Engineering, Dongguan, Guangdong 523808, China

Received:2017-06-15 Revised:2017-11-26 Online:2018-09-25 Published:2018-09-25
- Corresponding author:
- LI Quan-gang

摘要/Abstract

摘要： 当前，误植域名检测主要以计算域名对之间的编辑距离为基础，未能充分挖掘域名的上下文信息，且对短域名的检测易产生大量的假阳性结果。采集域名相关信息进行判定虽然有助于提高检测效果，却会引入较大的额外开销.本文采用了基于域名字符串的轻量级检测策略，并引入双向长短时记忆模型（LSTM，Long Short-Term Memory）来充分利用域名上下文，提升检测效果.本文还设计了面向域名的局部敏感哈希函数，以提高在大规模域名集合上进行误植域名检测的速度.在大量真实数据集上的实验结果表明，本文的工作改进了基于编辑距离检测方法的不足，能够有效地进行误植域名滥用检测.

关键词: 误植域名, 编辑距离, 双向LSTM, 上下文信息, 局部敏感哈希

Abstract: Prior works on detection of typosquatting abuse are based on the calculation of edit distance between domains. They do not fully utilize the context information of domains, and usually give many false positive results for short domains. Actively crawling much related information of the given domains can help improving the results, but introduce a heavy overhead. Therefore, we design a lightweight detecting strategy based on domain names, and introduce the bi-directional long short-term memory (LSTM) model to make full use of the domain context information. Furthermore, we give a locality sensitive hashing function for domain names, in order to increase the speed of typosquatting abuse detection over large-scale domain sets. Experimental results on a real data set show that the proposed method can overcome the shortcomings of edit distance based methods, and can detect typosquatting abuse efficiently.

Key words: typosquatting domain, edit distance, bi-directional LSTM, context information, locality sensitive hashing

中图分类号:

TP391

吕品, 李全刚, 柳厅文, 宁振虎, 王玉斌, 时金桥, 方滨兴. 基于双向LSTM的误植域名滥用检测方法[J]. 电子学报, 2018, 46(9): 2081-2086.

LÜ Pin, LI Quan-gang, LIU Ting-wen, NING Zhen-hu, WANG Yu-bin, SHI Jin-qiao, FANG Bin-xing. Towards Typosquatting Abuse Detection using Bi-directional LSTM[J]. Acta Electronica Sinica, 2018, 46(9): 2081-2086.

参考文献

[1] Moore T,Edelman B.Measuring the perpetrators and funders of typosquatting[A].Financial Cryptography and Data Security[C].New York:Springer Berlin Heidelberg,2010.175-191.
[2] Wang Y M,Beck D,Wang J,et al.Strider typo-patrol:discovery and analysis of systematic typo-squatting[A].Conference on Steps To Reducing Unwanted Traffic on the Internet[C].San Jose,CA:USENIX Association,2006.5.
[3] Vissers T,Joosen W,Nikiforakis N.Parking sensors:analyzing and detecting parked domains[A].The 2015 Network and Distributed System Security Symposium[C].San Diego,California:Internet Society,2015.53.
[4] Liu T,Zhang Y,Shi J,et al.Towards quantifying visual similarity of domain names for combating typosquatting abuse[A].2016 IEEE Military Communications Conference[C].Baltimore,MD,USA:IEEE,2016.770-775.
[5] Khan M T,Huo X,Li Z,et al.Every second counts:quantifying the negative externalities of cybercrime via typosquatting[J].Neural Computation,2015,6(5):135-150.
[6] Banerjee A,Barman D,Faloutsos M,et al.Cyber-fraud is one typo away[A].Proceedings of the 27th Conference on Computer Communications[C].Phoenix,AZ,USA:IEEE,2008.1939-1947.
[7] Banerjee A,Rahman M S,Faloutsos M.SUT:Quantifying and mitigating url typosquatting[J].Computer Networks,2011,55(13):3001-3014.
[8] Woodbridge J,Anderson H S,Ahuja A.Predicting Domain Generation Algorithms with Long Short-Term Memory Networks[DB/OL].https://arxiv.org/abs/1611.00791,2016-11-02.
[9] Anderson H S,Woodbridge J,Filar B.DeepDGA:adversarially-tuned domain generation and detection[A].Proceedings of the 2016 ACM Workshop on Artificial Intelligence and Security[C].New York,NY,USA:ACM,2016.13-21.
[10] 周昌令,栾兴龙,肖建国.基于深度学习的域名查询行为向量空间嵌入[J].通信学报,2016,37(3):165-174.
[11] Saxe J,Berlin K.eXpose:A Character-Level Convolutional Neural Network with Embeddings for Detecting Malicious URLs,File Paths and Registry Keys[DB/OL].https://arxiv.org/abs/1702.08568,2017-02-27.
[12] Kobojek P,Saeed K.Application of recurrent neural networks for user verification based on keystroke dynamics[J].Journal of Telecommunications and Information Technology,2016(3):80.
[13] Hochreiter S,Schmidhuber J.Long short-term memory[J].Neural Computation,1997,9(8):1735-1780.
[14] Manku G S,Jain A,Das Sarma A.Detecting near-duplicates for web crawling[A].Proceedings of the 16th International Conference on World Wide Web[C].Banff,Alberta,Canada:ACM,2007.141-150.
[15] Jing Y,Baluja S.Visualrank:Applying pagerank to large-scale image search[J].IEEE Transactions on Pattern Analysis and Machine Intelligence,2008,30(11):1877-1890.
[16] Slaney M,Casey M.Locality-sensitive hashing for finding nearest neighbors[lecture notes] [J].IEEE Signal Processing Magazine,2008,25(2):128-131.

基于双向LSTM的误植域名滥用检测方法

Towards Typosquatting Abuse Detection using Bi-directional LSTM

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 7

编辑推荐

Metrics

[1]	王瑞豪, 刘哲, 宋余庆. 结合切片上下文信息的多阶段胰腺定位与分割[J]. 电子学报, 2021, 49(4): 706-715.
[2]	邹北骥, 郭建京, 朱承璋, 杨文君, 徐子雯. 基于自适应色彩聚类和上下文信息的自然场景文本检测[J]. 电子学报, 2018, 46(6): 1436-1444.
[3]	王凯丽, 张艳红, 肖斌, 李伟生. 一种基于二维局部二值模式的纹理图像分类方法[J]. 电子学报, 2018, 46(10): 2519-2526.
[4]	李灿, 钱江波, 董一鸿, 陈华辉. M2LSH:基于LSH的高维数据近似最近邻查找算法[J]. 电子学报, 2017, 45(6): 1431-1442.
[5]	王忠伟, 陈叶芳, 钱江波, 陈华辉. 基于LSH的高维大数据k近邻搜索算法[J]. 电子学报, 2016, 44(4): 906-912.
[6]	肖冰;李洁;高新波. 一种度量图像相似性和计算图编辑距离的新方法[J]. 电子学报, 2009, 37(10): 2205-2210.
[7]	唐奇伶;龚红燕;李艳西;桑农. 融合上下文信息的血管造影图像增强[J]. 电子学报, 2008, 36(7): 1456-1459.