Raid2019参会总结——张晓欧
Raid2019参会总结
Raid是CCF列表中网络安全B类的会议,今年在中国北京召开。一共召开三天。我去听了周三上午的DNS Security和Attacks 。其中部分会议进行了录像,放至钉盘 /参会报告/190925Raid2019 目录下,有兴趣的老师同学可以去看一下。
Wednesday | |
08:45 - 10:15 | DNS Security |
Now You See It, Now You Don't: A Large-scale Analysis of Early Domain Deletions | |
HinDom: A Robust Malicious Domain Detection System based on Heterogeneous Information Network with Transductive Classification | |
DomainScouter: Understanding the Risks of Deceptive IDNs | |
0:30 - 12:00 | Attacks(Session Chair: Chao Zhang) |
Dynamically Finding Minimal Eviction Sets Can Be Quicker Than You Think for Side-Channel Attacks against the LLC | |
Time and Order: Towards Automatically Identifying Side-Channel Vulnerabilities in Enclave Binaries |
1. Now You See It, Now You Don't: A Large-scale Analysis of Early Domain Deletions
第一作者是Timothy Barron是与石溪大学PragSec实验室的Nick Nikiforakis教授一起从事网络安全研究的在读博士5年级学生。研究方向主要为网络安全、域名系统和蜜罐。在CCS,Raid和WWW会议上发表过文章。其个人主页为:http://tbarron.me/。
第三作者是Nick Nikiforakis教授,是石溪大学计算机科学系的助理教授。主要的研究方向为:在线生态系统分析、域名抢注、防止不必要跟踪的测量和对策、使用大多数被动技术评估远程服务器的安全性和防止网络钓鱼和Web应用程序攻击的客户端防御机制。其个人主页为:https://www.securitee.org/。
本文提出了一个问题——域名通常在其到期日期之前被删除。因为这种做法对合法用户没有任何好处,而恶意行为者删除域可能会妨碍对恶意活动的取证分析,并且注册服务商删除域而不是暂停域会导致重新注册和继续滥用。本文提出了对最大的顶级域名(TLD)中早期域名消失的首次系统分析,文章发现超过386,000个域名在过期前被删除的案例,并且发现一天中删除了1,000多个域的个人。此外,作者确定了选择删除域名而不是中止域名的特定注册商。比较了这些域的词汇特征,发现在早期删除,暂停和自然到期的域之间存在显着差异。
本文数据集已公开,位置为:https://github.com/Timothy-Barron/now-you-see-it。
2. HinDom: A Robust Malicious Domain Detection System based on Heterogeneous Information Network with Transductive Classification
第一作者:孙晓晴,清华16级直博生。
第三作者:杨家海,清华大学网络科学与网络空间研究院党委副书记、研究员、博士生导师;网络管理和测量技术实验室主任;清华大学信息化技术中心副主任;研究领域涉及互联网络管理、网络测量与安全、云计算与虚拟化等方面。
第四作者:刘欣然,国家计算机网络与信息安全管理中心副主任、研究员,国家互联网应急中心广东分中心主任,国家互联网应急中心副主任,中国科学院信息工程研究所、计算技术研究所兼职博士生导师。第三批国家“万人计划”科技创新领军人才。
本文主要讲了异构信息网络在检测恶意域名方面的应用。将DNS场景建模成异构信息网络HIN,然后使用元路径挖掘出图中的特定语义信息(域名间相似度),最后基于这些语义信息使用半监督分类方法分类。本文数据集未公开。
3. DomainScouter: Understanding the Risks of Deceptive IDNs
第一作者:Daiki CHIBA目前是日本东京NTT安全平台实验室的研究员。他获得了电气工程学士,硕士学位和博士学位。分别于2011年,2013年和2017年获得早稻田大学计算机科学博士学位。自2013年加入日本电报电话公司(NTT)以来,一直通过数据分析从事网络安全研究。于2016年获得IEICE信息和通信系统安全技术委员会的研究奖,并于2017年获得IEICE通信协会的最佳论文奖。他是IEEE和IEICE的成员。其研究介绍:https://researchmap.jp/daikichiba/?lang=english。其所在实验室主页为:https://www.ntt.co.jp/sc/index_e.html。
网络攻击者通过滥用有效的国际化域名(IDN)来创建外观上与合法/大众品牌相似的域名。在这项工作中,本文将此类域名(称为欺骗性IDN)系统化,并了解与之相关的风险。作者提出了一个名为DomainScouter的新系统,用于检测各种欺骗性IDN并计算欺骗性IDN得分,这是一种新的指标,用于指示可能被欺骗性IDN误导的用户数量。使用570个顶级域(TLD)下的440万个注册IDN对识别出的欺骗性IDN进行了全面的度量研究。测量结果表明,存在许多针对非英语品牌或结合其他域名抢注方法的未开发的欺骗性IDN。