DNS-GT: A Graph-based Transformer Approach to Learn Embeddings of Domain Names from DNS Queries

Ce papier présente DNS-GT, une approche novatrice basée sur les Transformers et les graphes qui apprend des représentations de noms de domaine à partir de requêtes DNS en contexte, surpassant les méthodes existantes pour des tâches de détection d'intrusion comme la classification de domaines et la détection de botnets.

L'essentiel

🕵️‍♂️ DNS-GT : Le Détective qui comprend le contexte

Imaginez que votre réseau informatique est une ville très animée. Chaque ordinateur est une maison, et chaque fois qu'une maison veut aller voir un site web, elle envoie un petit mot au bureau de poste local (le serveur DNS) pour demander l'adresse.

Ces petits mots, ce sont les requêtes DNS.

1. Le Problème : Le Détective qui lit mal les lettres

Jusqu'à présent, les systèmes de sécurité (les détectives) regardaient ces lettres une par une.

• L'approche ancienne : Si le mot "Banque" apparaît, le détective dit : "OK, c'est normal". Si le mot "Virus" apparaît, il dit : "Alerte !".
• Le problème : C'est comme si un détective lisait un livre en regardant uniquement les mots isolés, sans faire attention à la phrase.
  • Si vous voyez le mot "Banque" dans une phrase sur un vol de banque, c'est suspect.
  • Si vous voyez le mot "Banque" dans une phrase sur un compte en banque personnel, c'est normal.
  • Les anciens systèmes ne comprenaient pas cette nuance. Ils ne voyaient pas le contexte. De plus, ils avaient besoin de milliers d'exemples étiquetés par des humains (ce qui est long et cher).

2. La Solution : DNS-GT, le Super-Détective

Les auteurs du papier ont créé DNS-GT. C'est un nouveau type de détective, basé sur deux technologies de pointe :

1. Les Transformers (comme les grands modèles de langage type ChatGPT) : Ils sont excellents pour comprendre le sens d'une phrase entière.
2. Les Graphes : Une façon de relier les points entre eux, comme un réseau de relations.

L'analogie du "Groupe d'amis" :
Imaginez que vous essayez de savoir si une personne est gentille ou méchante.

• Méthode ancienne : Vous regardez juste son visage. "Il a l'air normal."
• Méthode DNS-GT : Vous regardez avec qui il est en train de parler.
  • S'il est avec des gens qui font du sport et rient, c'est probablement un bon moment.
  • S'il est avec des gens qui volent des portefeuilles, même s'il a l'air calme, le système dit : "Attention, il est dans un contexte dangereux !"

DNS-GT ne regarde pas juste le nom du site web (le "visage"). Il regarde la séquence des sites visités par un ordinateur (le "groupe d'amis").

3. Comment ça marche ? (La formation du détective)

Le système apprend en deux étapes, comme un étudiant :

• Étape 1 : L'entraînement en cachette (Pré-entraînement)
  Le détective reçoit des millions de lettres de la ville, mais on lui cache certains mots (comme dans un jeu de "Trouve le mot manquant"). Il doit deviner quel mot manquait en se basant sur les mots autour.

  • Exemple : "Je vais sur Google, puis sur YouTube, puis sur [MOT CACHÉ], puis sur Facebook."
  • Le système apprend que le mot caché est probablement "Instagram" ou "Twitter" (des sites de réseaux sociaux), et non "un site de piratage".
  • Le but : Apprendre la "grammaire" de la vie quotidienne sur internet sans qu'on lui dise ce qui est mal ou bien.

• Étape 2 : Le stage sur le terrain (Fine-tuning)
  Maintenant que le détective comprend bien le langage, on lui montre des cas réels de crimes (botnets, virus). Il utilise sa compréhension du contexte pour dire : "Ah, ce site est normal tout seul, mais vu qu'il est visité juste après un site de piratage, il est suspect !"

4. Pourquoi c'est génial ?

• Il comprend les liens : Il sait que certains sites sont souvent visités ensemble (comme un supermarché et une pharmacie), et que d'autres ne devraient jamais l'être.
• Il est flexible : Il peut apprendre sans qu'on lui donne des étiquettes "malveillant" ou "sain" au début. Il apprend tout seul la structure normale du trafic.
• Il résiste aux changements : Même si les pirates changent légèrement leurs méthodes, le système détecte l'anomalie parce que le "contexte" ne colle pas.

5. Les Résultats

Les chercheurs ont testé leur détective sur de vraies données d'un grand campus universitaire.

• Résultat : DNS-GT a été beaucoup plus efficace que les anciennes méthodes pour repérer les sites malveillants et les ordinateurs infectés (botnets).
• Le petit bémol : Comme il est très intelligent, il est un peu plus lent à calculer que les méthodes simples, un peu comme un détective très brillant qui prend le temps de réfléchir à chaque détail, plutôt que de donner une réponse rapide et approximative.

En résumé 🎯

DNS-GT est un système de sécurité qui ne se contente pas de lire les noms des sites web comme des mots isolés. Il lit les histoires que ces sites racontent ensemble.

C'est la différence entre un gardien qui vérifie juste votre carte d'identité (les anciennes méthodes) et un gardien qui regarde qui vous êtes, où vous allez, et avec qui vous marchez avant de vous laisser entrer. C'est plus intelligent, plus précis, et surtout, il comprend le contexte !

Résumé technique

Voici un résumé technique détaillé de l'article « DNS-GT: A Graph-based Transformer Approach to Learn Embeddings of Domain Names from DNS Queries ».

1. Problématique et Contexte

Les systèmes de détection d'intrusion réseau (NIDS) sont essentiels pour la cybersécurité, mais les méthodes traditionnelles basées sur des signatures ou des modèles d'apprentissage automatique supervisé souffrent de limitations majeures :

• Dépendance aux données étiquetées : L'obtention de données d'entraînement étiquetées est coûteuse et difficile en raison des préoccupations liées à la vie privée.
• Généralisation limitée : Les modèles existants peinent à s'adapter à de nouvelles menaces ou à généraliser à différentes tâches.
• Manque de contexte : Les approches antérieures utilisant des plongements de mots (comme Word2Vec) pour les noms de domaine traitent souvent les requêtes DNS de manière isolée ou ne capturent pas suffisamment les dépendances contextuelles complexes entre les requêtes successives d'un hôte.

L'objectif est de développer une méthode capable d'apprendre des représentations (embeddings) robustes des noms de domaine à partir de trafic DNS brut et non étiqueté, en exploitant le contexte temporel et structurel des requêtes.

2. Méthodologie : DNS-GT

Les auteurs proposent DNS-GT, une architecture novatrice combinant les Transformers et les Réseaux de Neurones Graphiques (GNN) pour modéliser les séquences de requêtes DNS.

A. Prétraitement et Séquençage

• Les données brutes (PCAP) sont nettoyées et filtrées pour ne conserver que les requêtes « A » (résolution IPv4) provenant d'utilisateurs finaux.
• Les requêtes sont regroupées par adresse IP hôte pour former des séquences chronologiques.
• Trois stratégies de séquençage sont évaluées :
  1. Fixe : Fenêtre glissante de longueur constante.
  2. Gourmande (Greedy) : Basée sur des délais temporels courts entre requêtes.
  3. Par clustering (DBScan) : Regroupement des requêtes proches dans le temps pour identifier des sessions cohérentes.

B. Architecture du Modèle

DNS-GT est un modèle de type Transformer adapté au contexte réseau, sans module de décodage (puisque l'objectif est l'apprentissage de représentations et non la traduction).

• Entrée : Une séquence de requêtes $x = [q_1, ..., q_L]$, où chaque requête $q_i$ est une paire (Hôte, Domaine).
• Représentation : Les hôtess et les domaines sont convertis en vecteurs d'embedding. Une pondération $\omega$ permet de fusionner ces vecteurs (avec la possibilité de masquer l'information hôte pour des raisons de confidentialité).
• Cœur du modèle (Multi-Head Graph Attention Network - GAT) :
  • Contrairement aux Transformers classiques qui utilisent une attention sur une séquence linéaire, DNS-GT utilise des blocs d'attention graphique multi-têtes.
  • Des topologies de graphes (matrices d'adjacence) sont injectées pour contraindre l'attention aux nœuds pertinents (ex: exclure les tokens de remplissage <PAD>).
  • Cette approche rend le modèle équivariant aux permutations : l'ordre exact des requêtes dans une séquence est moins critique que leurs relations contextuelles, offrant une robustesse aux perturbations temporelles mineures du réseau.
• Objectif d'entraînement (Pré-entraînement) : Utilisation du Masked Language Modeling (MLM). Des domaines dans la séquence sont masqués, et le modèle doit les reconstruire en s'appuyant sur le contexte des autres requêtes et des relations graphiques. Cela permet un apprentissage auto-supervisé sans données étiquetées.

C. Adaptation aux tâches en aval (Fine-tuning)

Une fois pré-entraîné, le modèle peut être affiné (fine-tuned) pour des tâches spécifiques :

1. Classification de domaines : Détection de domaines malveillants (phishing, botnets).
2. Détection de botnets : Classification des hôtes compromis.
   Le modèle peut fonctionner soit comme extracteur de caractéristiques (embeddings statiques), soit en mode « end-to-end » où les couches d'attention sont conservées pour exploiter le contexte dynamique.

3. Contributions Clés

1. DNS-GT : Introduction d'un modèle Transformer intégrant des mécanismes d'attention graphique pour modéliser les séquences de requêtes DNS.
2. Apprentissage auto-supervisé : Capacité à apprendre des représentations riches à partir de données non étiquetées, réduisant la dépendance aux annotations manuelles.
3. Modélisation contextuelle avancée : Utilisation de topologies de graphes pour capturer les dépendances sémantiques entre les requêtes, surpassant les méthodes basées sur Word2Vec qui ne capturent que des co-occurrences locales.
4. Évaluation complète : Validation sur un jeu de données réel (4000 hôtes, ~13 millions de requêtes) avec des tâches de classification de domaines et de détection de botnets.

4. Résultats Expérimentaux

Les expériences ont été menées sur un jeu de données TI-2016 (trafic de campus) et comparées à des baselines (Word2Vec CBOW et Skip-Gram) couplées à divers classificateurs (SVM, GNB, etc.).

• Classification de domaines :
  • DNS-GT en mode « end-to-end » a obtenu les meilleurs résultats sur toutes les stratégies de séquençage.
  • AUC (Area Under Curve) : DNS-GT a atteint un AUC de 0.848 (stratégie par densité), surpassant significativement Word2Vec (max ~0.779).
  • Score F1 : DNS-GT a également obtenu le meilleur score F1 (0.654), démontrant une meilleure capacité à distinguer les classes déséquilibrées.
• Détection de botnets : DNS-GT a atteint une précision de 0.877 et un AUC de 0.970, performant aussi bien que les meilleures baselines, bien que l'avantage contextuel soit moins marqué que pour la classification de domaines (car le statut d'un hôte dépend moins du contexte immédiat des requêtes).
• Étude d'ablation : La suppression du mécanisme d'attention a fait chuter l'AUC de 0.848 à 0.410, prouvant que la capacité à capturer le contexte est le facteur déterminant de la performance.
• Analyse de l'espace d'embedding : La visualisation t-SNE montre une séparation claire entre les domaines bénins (regroupés au centre) et les domaines malveillants (dispersés).
• Sensibilité au contexte : Le modèle change correctement la classification d'un domaine (ex: download.cdn.mozilla.net) de « bénin » à « malveillant » selon le contexte des requêtes environnantes (ex: présence de domaines de tracking publicitaire).

5. Signification et Perspectives

• Avancée pour la cybersécurité : DNS-GT démontre que les modèles de langage à grande échelle (LLM) adaptés aux données réseau peuvent apprendre des représentations sémantiques profondes sans supervision lourde.
• Robustesse : L'approche par graphes rend le modèle plus robuste aux variations temporelles du trafic réseau par rapport aux Transformers standards.
• Fondation pour le futur : Ce travail ouvre la voie à la création de « modèles de fondation » (foundation models) pour la sécurité, capables de se généraliser à diverses tâches de détection d'intrusion (NIDPS) à partir de trafic DNS.
• Limites et travaux futurs : Le coût computationnel est plus élevé que Word2Vec, et l'évaluation actuelle se limite à des données de campus. Les auteurs suggèrent d'explorer d'autres sources de données et des tâches multi-classes plus complexes.

En résumé, DNS-GT représente une avancée significative en combinant la puissance des Transformers et la flexibilité des GNN pour transformer l'analyse du trafic DNS en un problème de compréhension contextuelle, offrant des performances supérieures pour la détection de menaces modernes.