标签: 信息泄露

澳大利亚情报机构被发现利用 COVID-19 接触者追踪应用收集民众数据

澳大利亚的一个政府监察机构发现,澳大利亚的情报机构在该国的COVIDSafe接触者追踪应用推出的前六个月,“偶然 ”收集了数据。澳大利亚政府负责监督政府间谍和窃听机构的情报界监察长周一公布的报告称,该应用数据是在 “合法收集其他数据的过程中 ”被收集的。 但该监督机构表示,“没有证据”表明任何机构“解密、访问或使用任何COVID应用数据”。澳大利亚政府发言人告诉最先报道这一消息的一家媒体,偶然的收集也可能是 “执行手令 “的结果。报道没有说附带收集何时停止,但指出各机构正在 “采取积极措施确保遵守”法律,并将 “在切实可行的情况下尽快删除”这些数据,但没有确定日期。 对一些人来说,担心政府间谍机构能够获取COVID-19联系追踪数据是最坏的结果。 自COVID-19大流行开始以来,各国纷纷建立了接触者追踪应用程序,以帮助防止病毒的传播。但这些应用程序在功能和隐私方面差异很大。大多数都采用了对隐私更友好的方法,即使用蓝牙来追踪人们可能接触过的带有病毒的人。许多人选择实施苹果-谷歌系统,数百名学者支持该系统。但其他国家,比如以色列和巴基斯坦,则采用了更多侵犯隐私的技术,比如追踪位置数据,政府也可以利用这些数据来监控一个人的行踪。在以色列的案例中,这种追踪引起了很大的争议,以至于法院关闭了它。 澳大利亚的情报监督机构没有具体说明间谍机构收集了哪些数据。该应用使用蓝牙而非位置数据,但该应用要求用户上传一些个人信息–如姓名、年龄、邮政编码和电话号码–让政府卫生部门联系那些可能接触过感染者的人。 自疫情开始以来,澳大利亚已经出现了超过27800例新冠确诊病例,900多人死亡。       (消息来源:cnBeta;封面来自网络)

儿童游戏 Animal Jam 制作公司 WildWorks 确认发生数据泄漏事件

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据,Animal Jam 是美国最受欢迎的儿童游戏之一,在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息,但是 WildWorks 采取了比大多数公司更积极的措施,从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说,黑客在 10 月初偷走了 4600 万条 Animal Jam 记录,但直到 11 月才获悉该漏洞。 该公司表示,有人闯入了公司用于员工之间进行通信的系统之一,并访问了一个秘密密钥,该密钥使黑客能够侵入公司的用户数据库。坏消息是,已知被盗数据至少在一个网络犯罪论坛上流传,这意味着恶意黑客可能会使用(或正在使用)被盗信息。 该公司表示,被盗的数据可以追溯到过去 10 年,因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感,但该公司警告说,这些失窃记录中有3200万具有玩家的用户名,2390万记录具有玩家的性别,1480万条记录包含了玩家的出生年份,而 570 万条记录了玩家的完整的出生日期。 该公司表示,黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说,有12653个父母帐户具有父母的全名和帐单地址,有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示,除了帐单地址外,没有其他帐单数据(例如财务信息)被盗。 WildWorks还表示,黑客窃取了玩家的密码,促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密,这使得密码可能无法解密并有可能被破解,或者使用和 Animal Jam 相同密码的其他账户。       (消息及封面来源:cnBeta)

谷歌聘请的律师事务所 Fragomen 确认一起数据泄露事件

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务,以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案,以确保他们拥有合法的工作许可,并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息,包括护照、身份证和驾照等政府文件,以及其他个人身份数据,这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示,上个月发现,未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中,Fragomen没有说明被访问的数据是什么样的,也没有说明有多少谷歌员工受到影响。根据州法律规定,受违规事件影响的加州居民超过500人的公司,必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     (消息来源:cnbeta;封面来自网络)

推特向开发者警示:私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)

Epic Manchego——非典型的 maldoc 交付带来了大量的信息窃取者

前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Jenkins 服务器漏洞可能泄露敏感信息

Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告,该漏洞可能导致内存损坏,并导致机密信息泄露。该漏洞的编号为CVE-2019-17638,CVSS等级为9.4,影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。 “该漏洞允许未经身份验证的攻击者获取HTTP响应标头,其中可能包含针对其他用户的敏感数据。” 这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的,该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。 Jetty项目负责人GregWilkins说:“问题是在缓冲区溢出的情况下,我们释放了头缓冲区,但没有使字段为空。” 为解决此问题,Jetty引发异常以产生HTTP 431错误,该错误导致HTTP响应标头两次释放到缓冲池中,进而导致内存损坏和信息泄露。 因此,由于双重释放,两个线程可以同时从池中获取相同的缓冲区,并且可能允许一个请求访问由另一个线程写入的响应,该响应可能包括会话标识符、身份验证凭据和其他敏感信息。 换句话说,“当thread1要使用ByteBuffer写入response1数据时,thread2用response2数据填充ByteBuffer。然后,Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应,看到response2可能包含属于client2的敏感数据。” 在一种情况下,内存损坏使得客户端能够在会话之间移动,从而可以进行跨帐户访问,因为来自一个用户响应的身份验证cookie被发送到另一用户,从而允许用户A跳入用户B的会话。 披露安全隐患后,上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。 建议Jenkins用户将他们的软件更新到最新版本,以缓解该漏洞的危害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

任天堂就账号被黑事件发布最新声明:共有 30 万账号被入侵

在过去几个月时间里,任天堂被黑客入侵的用户账号数量几乎翻了一番。这家日本游戏巨头最初披露信息称,共有16万个任天堂账号遭到入侵,泄露的个人信息包括账号所有者的姓名、电子邮件地址、出生日期和居住国等。但据任天堂公布的更新声明显示,另有14万个账号被泄露。声明称,继续调查的结果使得这一数字上升。任天堂表示,该公司重新设置了这些账号的密码,并与受影响用户取得了联系。声明重申,任天堂的所有账号中仅有不到1%受到了此次黑客入侵事件的影响。 账号信息泄露的消息最早是在3月传出的,当时任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。 任天堂4月发布Twitter消息称,用户应为自己的账号启用双因素身份验证功能,但并未说明原因。两周之后,任天堂才承认大量账号被不当访问,但仍未透露这些账户是如何被访问的,只是声称黑客通过“我们服务以外的某种方式”获得了密码,从而获得了账号的访问权限。这意味着用户可能使用了保密性较弱的密码,或者重复使用了在其他服务中已被破解的密码,并被黑客用来入侵其任天堂账号。     (稿源:新浪科技,封面源自网络。)

印度 IT 公司 7 年入侵 1 万多电邮账户 多国政要被殃及

北京时间6月10日早间消息,据路透社报道,一家鲜为人知的印度IT公司为客户提供黑客服务,在7年时间里对全球超过1万个电子邮件账户进行入侵。根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据,总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。 5名知情人士表示,BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。 目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔(Sumit Gupta)拒绝在电话采访中透露客户身份,并否认存在任何不当行为。  浑水创始人卡尔森·布洛克(Carson Block)说,“得知我们可能成为BellTroX客户的入侵目标时,我感到失望,但并不惊讶。”KKR拒绝置评。 互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称,他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。 “这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿(John Scott-Railton)说。 他表示,尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比,“网络雇佣军”并未得到太大关注,但这些服务却得以广泛使用。“我们的调查发现,没有任何领域可以幸免。” 路透社通过查看数据缓存深入研究了这项活动,结果显示,BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的,在此之前,路透社曾经警告这些公司,他们平台上的活动存在异常。 该数据相当于一份“黑名单”,列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比,验证了这些数据的真实性。 名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分,他们均未作出回应或拒绝发表评论。 目前还无法确定究竟有多少次黑客入侵活动取得成功。 BellTroX的古普塔在2015年的一次黑客案中遭到起诉,该案中有两名美国私家侦探承认向他支付费用,以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯,但美国司法部拒绝评论此案当前的状况,也拒绝透露是否已提出引渡请求。 古普塔在他位于新德里的家中通过电话否认了黑客入侵行为,他还表示执法部门从未与他联系。他说,他在私家侦探向其提供登录详细信息后,才帮助他们从电子邮件收件箱中下载了消息。 “我没有帮助他们获取任何东西,我只是帮助他们下载邮件,他们向我提供了所有详细信息。”他说,“我不知道他们如何获得这些详细信息,我只是为他们提供了技术支持。” 路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息,而当路透社记者周一前往他的办公室拜访时,也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。 伪装邮件 根据路透社查看的数据,BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动,他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人,还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。 法哈米·奎德(Fahmi Quadir)在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说,在她发起基金后不久,就注意到2018年初的电子邮件数量激增。 最初“似乎不是恶意邮件,”奎德说,“只是占星术之类的内容。然后变成色情内容。” 最终,黑客们又加大了攻击力度,向她发送了看似可信的信息,伪装成她的同事、家人或其他做空机构。奎德说:“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。 美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future,这两个组织都为网络中立原则展开游说。这些组织表示,少数员工帐户遭到入侵,但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击,但并没有公开将此与BellTroX联系起来。 Free Press主任蒂莫西·卡尔(Timothy Karr)说,“每当我们参与激烈且备受瞩目的公共政策辩论时,攻击行为就会增加。”Fight for the Future副主任埃文·格里尔(Evan Greer)说:“如果企业和政客可以雇用数字雇佣兵来瞄准公民社会组织,就会破坏我们的民主进程。” 尽管路透社无法确定是谁雇用了BellTroX来进行黑客攻击,但该公司的两名前雇员表示,他们及其他类似公司通常会与私家侦探签约,而这些私家侦探的幕后老板其实是受攻击者的商业或政治竞争对手。 圣迭戈私家侦探公司Bulldog Investigation的巴特·桑托斯(Bart Santos)表示,他们就曾经收到了来自印度的黑客服务广告,其中有一个人自称是BellTroX的前雇员。这些广告号称可以提供“数据渗透”和“电子邮件渗透”服务。事实上,有十余家欧美私家侦探都表示曾经收到过类似的广告。 桑托斯说,他并没有理睬这些广告,但他可以理解为什么有些人会花钱雇佣这些公司。“印度人在客户服务方面声誉很好。”他说。     (稿源:新浪科技,封面源自网络。)

基于域名图谱嵌入的恶意域名挖掘

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/LeK6QYHwd3k3UlyAuSkcZA   一、导语 恶意域名的挖掘检测一直是威胁情报生产的核心内容。在庞大的互联网体量下,以域名为节点的访问、下载、解析等关系够成了一张无比庞大的“图”,黑客的每一次访问、请求或下载,都构成了其中具有独特结构的可疑子图,由此出发,图关系天然适用于挖掘恶意域名。本文主要讲解了图嵌入(GraphEmbedding)相关技术在腾讯安全威胁情报生产中的运用。 二、应用背景 一般的恶意域名检测(Malicious Domains Detection)[1]任务是基于特征工程和机器学习来进行恶意域名的判定,但从网络图谱的角度上来看,域名是整个图中的一个节点,它在网络图谱中,与不同的节点,如IP、md5等有不同的相邻关系,如访问、下载、解析等。如下图是腾讯安图对域名节点的网络关系展示。 对于恶意域名而言,基于其网络图谱关系,能够有效获取实锤线索。而图嵌入技术让网络关系能够进行有效的数值化表达。 三、相关技术 图嵌入往往作为一些图神经网络(GraphNeural Networks,GNN[2])的输入特征,与词嵌入[3]类似,图嵌入基本理念是基于(非)相邻节点关系,将目的节点映射为稠密向量,这样就将图谱上的多边关系和实物节点进行了数值化,以便在下游任务中进行运用[4]。 在获取相应图嵌入后,围绕图嵌入的下游任务主要有四类:节点分类、链路预测、聚类分析和可视化分析。节点分类指对节点的类型进行分类,如判定域名节点是否为恶意;链路预测是为了判定两个节点之间是否有边相连;聚类分析是在无监督学习场景下的节点簇分析;可视化分析通常会对节点进行降维并可视化。 此外,需要注意的是,网络有同构(homogeneous networks)与异构(heterogeneous networks)之分,如用户作为节点构成的社交网络是同构网络,而如网络图谱这样,节点包括域名、IP等多种类型的是异构网络[5]。 基于同构网络进行图嵌入的代表是node2vec[6]。它的嵌入过程主要分两步:二阶随机游走(2ndorder random walk)获得节点序列和基于Skip-gram[3]训练节点嵌入。在二阶随机游走中,算法通过p、q两个超参数来控制游走到不同类型图节点的概率,如下图: 是未归一化概率,其取值由超参数p、q确定,其中代表了出发节点v的下一步节点x跟上一个节点t的三种相邻关系:相邻、不相邻和自身,如下图: 不同的p、q值,实现了对图节点两种相似性的偏好控制:同构性(homophily)和结构对等性(structural equivalence)。通过p、q的值,控制Breadth-first Sampling和Depth-first Sampling,进而将同构性和结构对等性采样到节点序列中。 此后,使用skip-gram对游走的序列结果进行训练,得到关于每个节点的稠密向量。 四、基于图嵌入的恶意域名挖掘 4.1 基于图嵌入的域名情报挖掘架构 腾讯安全威胁情报中心基于海量安全大数据,在知识图谱、图计算等方面有深入的研究。在图神经网络的应用方面,实现了基于多种类型图结构的域名节点的嵌入与判定。 下图是目前在域名情报图嵌入构建的主要架构。首先根据域名与其他实体的关联关系,构建域名的同构关系图,然后基于图嵌入技术训练域名的图嵌入表示,最后根据具体的需求,结合其他维度的数据,实现相应任务。 下面对其中基于样本下载关系的同构域名图嵌入实现进行详述。 4.2 基于样本下载关系的同构域名图嵌入实现 域名图嵌入的其中一部分是从md5与域名的下载关系出发,来构建同构域名图,如下图。其主要构建过程包括: 抽取种子域名 黑白样本md5采样 获取下载边关系 关联域名 构建域名带权无向图 node2vec训练 特征融合与建模 4.2.1 抽取种子域名 为了构建域名下载关系同构图,需要一批种子域名,这批种子域名用以关联下载相同黑白样本md5的其他域名,以构成一张关于域名同构的图。 目前,种子域名主要由域名情报和高危域名组成,记为domains_seed。 4.2.2 黑白样本md5采样 腾讯安全多年黑灰产对抗过程中累积了海量样本的相关信息,包括样本本身的黑白灰属性,为了构建域名下载关系网络,对活跃期内的样本md5进行采样,去除低广和高广的白样本和低广的黑样本。这样可以避免低广高广样本将域名网络连接成一个完全图,让不同类型域名在图上的结构具有更大的差异性,同时,降低同构网络构建过程中的内存压力,这个黑白md5集合分别记为md5_black和md5_white。 4.2.3 获取下载边关系 选取一定时间段内的从域名下载样本md5的关系数据(md5-downloaded-domain),这个数据表明了,在一定时间段内,某md5从哪些域名上下载。同时,移除md5不在md5_black和md5_white中的对应关系数据。 4.2.4 关联域名 种子域名分别与黑白样本md5关联非种子域名。 以黑样本md5为例。在md5-downloaded-domain中抽取域名在domains_seed中,而md5在md5_black中的的md5和域名的下载关系数据,记为md5 -domain-black。从md5 -domain-black获得对应的所有域名作为黑关联域名,记为domain_black_corr。 同理可得domain_white_corr。 4.2.5 构建域名带权无向图 在获得的黑白关联域名和种子域名上,通过md5-downloaded-domain构建带权无向同构域名黑白网络。 以黑关联域名为例。在md5-downloaded-domain上抽取域名为黑关联域名或种子域名、md5为黑的域名md5下载关系,并假定下载相同md5的域名是互连的,这样去掉md5,就得到了仅域名连接的多个无向边。 假设这些无向边的权重为一个基本权重单位,则假定边无向的前提下,相同边的数量作为这条边的权重。由此构建起关于黑md5的域名同构带权无向图。同理可得关于白md5的域名同构带权无向图。 4.2.6  node2vec训练 这里选取node2vec对构建的黑白带权无向图进行域名图嵌入进行训练,node2vec在节点分类上具有明显优势,适用于下游域名相关挖掘任务,如下图。 node2vec在多种评测数据上均获得了最优或近似最优的结果。 通过node2vec,分别训练获得了关于域名下载关系的黑白图嵌入。下图是通过t-SNE降维后,黑白两类域名图嵌入的散点图示。 4.2.7 特征融合与建模 在获得关于域名下载关系的黑白图嵌入后,针对具体下游任务,可以结合域名其他维度特征进行进一步分析。 在恶意域名检测任务中,结合了域名的多种嵌入和其他属性特征,构建前馈神经网络(feedforwardneural network,FNN)进行建模和域名检测。通过对图嵌入的运用,在召回相近的情况下,恶意域名检测的精确率(precise)提升了1.7个百分点,达到了93.1%。 五、总结与展望 基于图嵌入的恶意域名挖掘从域名网络关联的角度,为域名的检测提供了新的线索及其数值化方案,丰富了域名的特征的维度和检测精度。 目前,域名的各种图嵌入的构建主要基于同构网络,接下来,会继续研究异构网络在域名检测上的应用。此外,除了域名,图嵌入技术和图神经网络在IP等情报上,同样具有应用和探索的价值。 六、参考文献 [1] Zhauniarovich Y,Khalil I, Yu T, et al. A survey on malicious domains detection through DNS dataanalysis[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-36. [2] Scarselli F,Gori M, Tsoi A C, et al. The graph neural network model[J]. IEEE Transactionson Neural Networks, 2008, 20(1): 61-80. [3] Mikolov T, ChenK, Corrado G, et al. Efficient estimation of word representations in vectorspace[J]. arXiv preprint arXiv:1301.3781, 2013. [4] Goyal P, FerraraE. Graph embedding techniques, applications, and performance: A survey[J].Knowledge-Based Systems, 2018, 151: 78-94. [5] Zhang F, Liu X, Tang J, et al. Oag: Towardlinking large-scale heterogeneous entity graphs[C]//Proceedings of the 25th ACMSIGKDD International Conference on Knowledge Discovery & Data Mining. 2019:2585-2595. [6] Grover A,Leskovec J. node2vec: Scalable feature learning for networks[C]//Proceedings ofthe 22nd ACM SIGKDD international conference on Knowledge discovery and datamining. 2016: 855-864.