新型DNS威脅檢測策略：30天內，高效標記1300萬個惡意域名

威脅檢測越全面、越立體，越能讓企業(yè)及時、有效地建立安全防線。Akamai安全研究團隊近期發(fā)現(xiàn)，應用NOD（Newly Observed Domain,新發(fā)現(xiàn)的域名）這項數(shù)字資產，能夠顯著提速標記新惡意域名的檢測效率。

在2022年上半年，Akamai研究人員根據(jù)NOD數(shù)據(jù)集，標記了近7900萬個惡意域名，平均至每月大約1300萬個惡意域名，在全部成功解析的NOD中占比20.1%。

一款威脅檢測利器

利用NOD威脅檢測惡意域名如此高效，那么這一概念具體指的是哪些域名，它又是從何而來的呢？Akamai會從CacheServe客戶（通常是ISP）提供的匿名DNS（域名系統(tǒng)）查詢字段數(shù)據(jù)中提取域名，并跟蹤上次觀測時間。對于過去60天內首次查詢的域名，Akamai都會視其為NOD，即新發(fā)現(xiàn)的域名。

相比于其他監(jiān)控NOD企業(yè)0.5-72h的時間窗口，Akamai設置長達60天窗口是為了確保只關注新注冊且隱蔽性強的域名，也正是在這個窗口期洞察到了大量新發(fā)現(xiàn)和即將出現(xiàn)的DNS網(wǎng)絡威脅。通過擴增數(shù)據(jù)集規(guī)模，Akamai安全研究人員能夠緊密追蹤從未成功解析的DNS查詢，掌控安全偵測全局。

多路徑的高效檢測

如今，Akamai安全研究團隊每天可以發(fā)現(xiàn)約1200萬個NOD，并成功解析超過200萬個。監(jiān)控、標記惡意域名威脅進程中，主要應用如下檢測方法：

四種常用檢測方法

·域名生成算法（DGA）

應用逆向工程掌握DGA內部工作機制創(chuàng)建域名數(shù)據(jù)庫，覆蓋未來30年內可能出現(xiàn)的域名。

·啟發(fā)式分析法

Akamai已創(chuàng)建190多個特定NOD檢測規(guī)則，并持續(xù)應用機器學習技術擴展啟發(fā)式分析法。

·網(wǎng)絡釣魚檢測

以對比已知品牌名稱和熱門網(wǎng)站列表的方式，來檢查NOD相似性的高低，以判斷惡意域名。

·快速威脅檢測

全自動化執(zhí)行NOD檢測，僅需數(shù)分鐘便可依據(jù)新NOD判定惡意域名，在速度上更具優(yōu)勢。

多層面的立體檢測

相比于某大型知名威脅情報綜合分析平臺，僅就啟發(fā)式分析檢測項目來看，在雙方都標記出某個惡意域名時，Akamai耗時通常要比綜合分析平臺早29.6天。

x軸右側條形圖代表Akamai檢測系統(tǒng)更快的情況，左側條形圖代表某綜合分析平臺更快的情況；y軸代表惡意域名的數(shù)量

為幫助企業(yè)構建宏觀的安全視角，Akamai展開的是多層面惡意域名追蹤，由此NOD策略在部分情況下也存在略慢的表現(xiàn)。更為保險的理想方案是同時使用NOD策略與綜合分析平臺。

面對加密貨幣風險、惡意軟件等攻擊所致的DNS威脅流量威脅，Akamai建議企業(yè)部署多維度的安全策略，將NOD檢測作為常規(guī)威脅情報源的補充策略，縮減與攻擊者的信息差，提升網(wǎng)絡的安全性。

作為DNS領域的市場領導者，Akamai構建的Edge DNS解決方案，也能夠發(fā)揮全球規(guī)模邊緣平臺優(yōu)勢，助力企業(yè)防范DNS中斷，便捷管理DNS成本，全面抵御DNS數(shù)據(jù)偽造帶來的攻擊威脅。