DNS-GT: A Graph-based Transformer Approach to Learn Embeddings of Domain Names from DNS Queries

Il paper presenta DNS-GT, un modello Transformer basato su grafi che apprende rappresentazioni contestuali dei nomi di dominio dalle query DNS in modo auto-supervisionato, ottenendo prestazioni superiori rispetto ai metodi esistenti nei compiti di classificazione e rilevamento di botnet.

L'essenziale

🕵️‍♂️ Il Detective Digitale: DNS-GT

Immagina che la rete internet sia una città enorme e caotica. In questa città, ogni computer (il tuo PC, il tuo smartphone, i server aziendali) è un abitante che deve costantemente chiedere indicazioni stradali per trovare i posti giusti: "Dov'è Facebook?", "Dov'è il sito della banca?", "Dov'è quel video su YouTube?".

Queste richieste si chiamano DNS Query. Sono come i bigliettini che gli abitanti si passano chiedendo: "Scusa, come si arriva a google.com?".

Il problema è che i criminali digitali (hacker, botnet, virus) vivono anche loro in questa città. Quando un computer viene infettato, inizia a inviare bigliettini strani, chiedendo indicazioni per luoghi pericolosi o segreti, spesso in modo confuso o ripetitivo.

🚧 Il Problema: I vecchi guardiani sono stanchi

Fino a poco tempo fa, i sistemi di sicurezza (i guardiani della città) funzionavano con due metodi:

1. La lista dei "Cattivi Conosciuti": Se un criminale era già stato visto prima, il guardiano lo fermava. Ma se il criminale si travestiva o usava un nuovo nome, il guardiano non lo riconosceva.
2. L'analisi delle "Forme": Guardavano solo la forma del bigliettino (quanto è lungo, quanti caratteri ha). Ma i criminali sono furbi e cambiano forma facilmente.

Inoltre, questi sistemi avevano bisogno di etichette (sapevano già quali bigliettini erano "cattivi" e quali "buoni"). Nella realtà, etichettare milioni di bigliettini è come cercare di colorare a mano ogni singolo mattone di un grattacielo: ci vuole troppo tempo e spesso non si hanno le etichette giuste.

🧠 La Soluzione: DNS-GT, il "Super-Detective"

Gli autori di questo paper hanno creato un nuovo detective chiamato DNS-GT. Non guarda solo il singolo bigliettino, ma legge l'intera conversazione.

Ecco come funziona, passo dopo passo:

1. Imparare la "Grammatica" della città (Pre-training)
Immagina di mettere DNS-GT in una stanza piena di milioni di bigliettini reali, ma senza dirgli quali sono buoni e quali cattivi.
Gli dici: "Leggi tutto questo caos. Cerca di capire come parlano le persone. Se vedi che qualcuno chiede 'Dov'è Facebook?' e subito dopo chiede 'Dov'è Instagram?', capisci che sono amici. Se invece vedi che qualcuno chiede 'Dov'è la banca?' e poi improvvisamente chiede 'Dov'è un sito di hacking?', capisci che c'è qualcosa che non va."

DNS-GT usa una tecnologia chiamata Transformer (la stessa che fa funzionare i chatbot intelligenti) combinata con una rete neurale a grafo.

• La metafora del Grafo: Immagina che ogni richiesta sia un nodo in una ragnatela. DNS-GT non guarda i nodi isolati, ma vede chi è collegato a chi. Se un nodo "strano" è collegato a 50 nodi "cattivi", DNS-GT capisce che anche lui è sospetto, anche se da solo sembrava innocente.

2. Il gioco del "Cosa manca?" (Masked Language Modeling)
Durante l'apprendimento, DNS-GT gioca a un gioco: gli nascondono un bigliettino (lo mascherano) e deve indovinare quale era basandosi solo su quelli prima e dopo.

• Esempio: Se la sequenza è "Ciao, come stai? [MASK]?", il detective impara che al posto del buco c'è quasi sicuramente "bene?".
• Nel mondo DNS, se un computer chiede "Facebook", "Instagram" e poi c'è un buco, il detective impara che lì dovrebbe esserci "WhatsApp". Se invece il buco viene riempito da un nome strano e pericoloso, il detective impara che quella sequenza è anomala.

3. Diventare un esperto (Fine-tuning)
Una volta che DNS-GT ha imparato la "grammatica" della città (come si comportano i computer normali), gli si mostra un piccolo numero di casi in cui si sapeva già chi era il colpevole.
Gli si dice: "Ehi, guarda questa sequenza: era un botnet (una rete di computer zombie). Ora che hai imparato il linguaggio, riconosci altri botnet simili?"
Il detective si adatta rapidamente, anche con poche informazioni, perché ha già capito il contesto.

🏆 I Risultati: Perché è speciale?

Il paper ha fatto degli esperimenti reali con dati di una vera università (4.000 computer!). Ecco cosa hanno scoperto:

• Capisce il contesto: Un dominio (un indirizzo web) può essere innocuo da solo, ma se appare in una sequenza strana con altri domini sospetti, DNS-GT lo blocca. È come se un uomo vestito da postino fosse innocente, ma se lo vedi entrare in una banca con una pistola, diventa sospetto.
• Migliore dei vecchi metodi: Ha battuto i metodi tradizionali (come Word2Vec, che guardava le parole una per una senza capire la frase intera) sia nel trovare siti pericolosi, sia nel rilevare i botnet.
• Non ha bisogno di etichette perfette: Può imparare da solo guardando il "rumore" della città, rendendolo perfetto per aziende che hanno troppi dati per etichettarli tutti a mano.

🚀 In sintesi

DNS-GT è come un detective che non si limita a guardare i volti dei criminali, ma ascolta le loro conversazioni. Capisce che il modo in cui le persone (o i computer) si muovono nella città ha un ritmo e una logica. Se qualcuno rompe quel ritmo, anche senza avere un "foglio rosso" (un'etichetta di criminale) in mano, il detective sa che qualcosa non va e interviene.

È un passo avanti verso una sicurezza informatica più intelligente, che impara da sola a riconoscere i pericoli prima che facciano danni.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "DNS-GT: A Graph-based Transformer Approach to Learn Embeddings of Domain Names from DNS Queries", redatta in italiano.

1. Il Problema

I sistemi di rilevamento delle intrusioni di rete (NIDS) sono fondamentali per la sicurezza informatica, ma le metodologie tradizionali basate su firme (signature-based) e sui metodi di apprendimento automatico (ML) convenzionali presentano limiti significativi:

• Dipendenza dai dati etichettati: I modelli ML supervisionati richiedono grandi quantità di dati etichettati, spesso costosi e difficili da ottenere a causa di preoccupazioni sulla privacy.
• Generalizzazione limitata: I modelli esistenti faticano a adattarsi a nuove minacce o a generalizzare su compiti diversi.
• Mancanza di contesto: I metodi precedenti per l'analisi del traffico DNS (come Word2Vec) trattano i nomi di dominio come parole isolate, aggregando solo pattern di co-occorrenza locali. Non riescono a catturare le dipendenze contestuali complesse tra le query DNS sequenziali, che sono cruciali per distinguere comportamenti benigni da quelli malevoli (es. botnet, tunneling DNS).

2. Metodologia: DNS-GT

Gli autori propongono DNS-GT, un modello innovativo basato su Transformer integrato con Reti Neurali su Grafi (GNN), progettato specificamente per l'analisi del traffico DNS.

Architettura e Pre-training

Il modello segue un approccio a due fasi:

1. Pre-training Self-Supervised: Il modello viene addestrato su dati DNS grezzi e non etichettati utilizzando l'obiettivo di Masked Language Modeling (MLM).

   • Input: Sequenze di query DNS raggruppate per host IP. Ogni query è una coppia $(h, d)$ dove $h$ è l'host e $d$ è il dominio richiesto.
   • Meccanismo: Alcuni token (domini) vengono mascherati e il modello deve ricostruirli basandosi sul contesto delle altre query nella sequenza.
   • Adattamento al dominio: A differenza dei Transformer standard per il NLP, DNS-GT non utilizza codifiche posizionali (poiché l'ordine esatto delle query può essere rumoroso o meno importante del contesto globale) e sostituisce i blocchi di attenzione standard con Multi-Head Graph Attention Network (GAT) blocks.
   • Topologie di Grafo: Il modello supporta topologie di grafo personalizzate (matrici di adiacenza) che definiscono quali token possono "guardarsi" a vicenda. Questo permette di vincolare l'attenzione solo ai token rilevanti (es. ignorando i token di padding <PAD>).

2. Fine-tuning: Il modello pre-addestrato viene successivamente affinato per compiti specifici a valle (downstream tasks) con dati etichettati, sfruttando le rappresentazioni contestuali apprese.

Componenti Chiave

• Embedding Ibrido: Combina embedding per gli host e per i domini con un coefficiente di ponderazione $\omega$. Se $\omega=1$, il modello ignora l'host (utile per la privacy).
• Invarianza alle permutazioni: Grazie all'uso di GAT invece di Transformer sequenziali puri, il modello è robusto a piccole perturbazioni temporali nella rete, poiché la rappresentazione finale di un token non dipende rigidamente dalla sua posizione assoluta nella sequenza, ma dalle sue connessioni nel grafo.
• Sequenziamento: Vengono valutate tre strategie per costruire le sequenze: lunghezza fissa, basata sul tempo "greedy" e basata sul clustering temporale (DBScan). La strategia basata sul clustering (Density) si è rivelata la più efficace.

3. Contributi Principali

• Nuovo Modello Architetturale: Introduzione di DNS-GT, che unisce l'attenzione contestuale dei Transformer con la modellazione strutturata delle GNN per il traffico di rete.
• Apprendimento Non Supervisionato: Dimostrazione della capacità di apprendere rappresentazioni robuste di nomi di dominio senza bisogno di etichette iniziali, sfruttando la vasta disponibilità di dati DNS grezzi.
• Valutazione Estensiva: Sperimentazione su un dataset reale con oltre 4.000 host e milioni di query, fornendo valutazioni sia qualitative che quantitative.
• Versatilità: Dimostrazione della capacità di generalizzare il modello su compiti diversi, come la classificazione dei domini e il rilevamento di botnet.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su un dataset di traffico DNS reale (TI-2016) e confrontati con baseline come Word2Vec (CBOW e Skip-Gram).

• Classificazione dei Nomi di Dominio:

  • DNS-GT ha ottenuto risultati superiori rispetto a tutte le baseline in tutte le strategie di sequenziamento.
  • Nella strategia "Density" (basata sul clustering temporale), DNS-GT ha raggiunto un AUC di 0.848 e un F1-score di 0.654, superando significativamente Word2Vec + SVM (AUC 0.811, F1 0.535).
  • L'uso di classificatori esterni sulle sole embedding (senza fine-tuning end-to-end) ha dato risultati inferiori per DNS-GT, confermando che il valore del modello risiede nella capacità di sfruttare il contesto durante l'inferenza, non solo nelle feature statiche.

• Rilevamento dei Botnet:

  • DNS-GT ha mostrato prestazioni paragonabili a Word2Vec-SkipGram (AUC 0.970) nel rilevamento di botnet, confermando che il modello non degrada le prestazioni su compiti di classificazione di host, pur essendo ottimizzato per il contesto dei domini.

• Studio Ablativo:

  • Rimuovere il meccanismo di attenzione ha causato un crollo delle prestazioni (AUC sceso a 0.410), dimostrando che la capacità di catturare le dipendenze contestuali è il fattore critico.
  • Anche l'informazione sull'host contribuisce positivamente, ma in misura minore rispetto all'attenzione.

• Complessità Computazionale:

  • DNS-GT richiede più tempo di addestramento rispetto a Word2Vec a causa della sua architettura complessa (24M parametri contro 15M), ma i tempi di inferenza e la scalabilità sono gestibili.

5. Significato e Implicazioni

Il lavoro di DNS-GT rappresenta un passo avanti significativo verso l'uso di modelli linguistici di base (Foundation Models) per la sicurezza informatica.

• Superamento delle limitazioni dei dati etichettati: Dimostra che è possibile costruire sistemi di rilevamento robusti partendo da dati grezzi non etichettati, riducendo la dipendenza da costosi processi di labeling.
• Comprensione Semantica del Traffico: Il modello non tratta i domini come stringhe isolate, ma ne comprende il "significato" in base al comportamento dell'utente e al contesto della sessione (es. un dominio legittimo può essere classificato come sospetto se appare in una sequenza di query tipiche di un botnet).
• Futuro della Sicurezza: Apre la strada a sistemi di rilevamento delle intrusioni (NIDPS) più scalabili, generalizzabili e capaci di adattarsi a minacce emergenti sfruttando le tecniche avanzate di NLP applicate ai dati di rete.

In sintesi, DNS-GT dimostra che l'integrazione di meccanismi di attenzione contestuale e modellazione grafica su dati DNS offre una rappresentazione superiore delle minacce di rete rispetto alle tecniche tradizionali di embedding.