선제 대응을 위한 의심 도메인 추론 방안

Vol. 26, No. 2, pp. 405-414, 4월. 2016
10.13089/JKIISC.2016.26.2.405, Full Text:
Keywords: Suspicious Domain Inference, Proactive Detection, DNS Zone File, WHOIS Information, Machine Learning
Abstract

본 논문에서는 선제 대응을 위한 의심 도메인 추론 방안을 제시한다. TLD Zone 파일과 WHOIS 정보를 이용하여 의심 도메인을 추론하며, 후보 도메인 탐색, 기계 학습, 의심 도메인 집단 추론의 세 과정으로 구성되어 있다. 첫 번째 과정에서는 씨앗 도메인과 동일한 네임 서버와 업데이트 시간을 가진 다른 도메인을 TLD Zone 파일로부터 추출하여 후보 도메인을 형성하며, 두 번째 과정에서는 후보 도메인의 WHOIS 정보를 정량화하여 유사한 집단끼리 군집화 한다. 마지막 과정에서는 씨앗 도메인을 포함하는 클러스터에 속한 도메인을 의심 도메인 집단으로 추론한다. 실험에서는 .COM과 .NET의 TLD Zone 파일을 사용하였으며, 10개의 알려진 악성 도메인을 씨앗 도메인으로 이용하였다. 실험 결과, 제안하는 방안은 55개의 도메인을 의심 도메인으로 추론하였으며, 그 중 52개는 적중하였다. F1은 0.91을 기록하였으며, 정밀도는 0.95을 보였다. 본 논문에서 제안하는 방안을 통해 악성 도메인을 추론하여 사전에 차단할 수 있을 것으로 기대한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
B. Kang, J. YANG, J. So, C. Y. Kim, "A Proactive Inference Method of Suspicious Domains," Journal of The Korea Institute of Information Security and Cryptology, vol. 26, no. 2, pp. 405-414, 2016. DOI: 10.13089/JKIISC.2016.26.2.405.

[ACM Style]
Byeongho Kang, JISU YANG, Jaehyun So, and Czang Yeob Kim. 2016. A Proactive Inference Method of Suspicious Domains. Journal of The Korea Institute of Information Security and Cryptology, 26, 2, (2016), 405-414. DOI: 10.13089/JKIISC.2016.26.2.405.