新型DNS威脅檢測(cè)策略:30天內(nèi),高效標(biāo)記1300萬個(gè)惡意域名

來源:Akamai
作者:Akamai
時(shí)間:2022-11-15
2991
威脅檢測(cè)越全面、越立體,越能讓企業(yè)及時(shí)、有效地建立安全防線。Akamai安全研究團(tuán)隊(duì)近期發(fā)現(xiàn),應(yīng)用NOD(Newly Observed Domain,新發(fā)現(xiàn)的域名)這項(xiàng)數(shù)字資產(chǎn),能夠顯著提速標(biāo)記新惡意域名的檢測(cè)效率。

威脅檢測(cè)越全面、越立體,越能讓企業(yè)及時(shí)、有效地建立安全防線。Akamai安全研究團(tuán)隊(duì)近期發(fā)現(xiàn),應(yīng)用NOD(Newly Observed Domain,新發(fā)現(xiàn)的域名)這項(xiàng)數(shù)字資產(chǎn),能夠顯著提速標(biāo)記新惡意域名的檢測(cè)效率。

在2022年上半年,Akamai研究人員根據(jù)NOD數(shù)據(jù)集,標(biāo)記了近7900萬個(gè)惡意域名,平均至每月大約1300萬個(gè)惡意域名,在全部成功解析的NOD中占比20.1%。

一款威脅檢測(cè)利器

利用NOD威脅檢測(cè)惡意域名如此高效,那么這一概念具體指的是哪些域名,它又是從何而來的呢?Akamai會(huì)從CacheServe客戶(通常是ISP)提供的匿名DNS(域名系統(tǒng))查詢字段數(shù)據(jù)中提取域名,并跟蹤上次觀測(cè)時(shí)間。對(duì)于過去60天內(nèi)首次查詢的域名,Akamai都會(huì)視其為NOD,即新發(fā)現(xiàn)的域名。

相比于其他監(jiān)控NOD企業(yè)0.5-72h的時(shí)間窗口,Akamai設(shè)置長(zhǎng)達(dá)60天窗口是為了確保只關(guān)注新注冊(cè)且隱蔽性強(qiáng)的域名,也正是在這個(gè)窗口期洞察到了大量新發(fā)現(xiàn)和即將出現(xiàn)的DNS網(wǎng)絡(luò)威脅。通過擴(kuò)增數(shù)據(jù)集規(guī)模,Akamai安全研究人員能夠緊密追蹤從未成功解析的DNS查詢,掌控安全偵測(cè)全局。

多路徑的高效檢測(cè)

如今,Akamai安全研究團(tuán)隊(duì)每天可以發(fā)現(xiàn)約1200萬個(gè)NOD,并成功解析超過200萬個(gè)。監(jiān)控、標(biāo)記惡意域名威脅進(jìn)程中,主要應(yīng)用如下檢測(cè)方法:

四種常用檢測(cè)方法

·域名生成算法(DGA)

應(yīng)用逆向工程掌握DGA內(nèi)部工作機(jī)制創(chuàng)建域名數(shù)據(jù)庫,覆蓋未來30年內(nèi)可能出現(xiàn)的域名。

·啟發(fā)式分析法

Akamai已創(chuàng)建190多個(gè)特定NOD檢測(cè)規(guī)則,并持續(xù)應(yīng)用機(jī)器學(xué)習(xí)技術(shù)擴(kuò)展啟發(fā)式分析法。

·網(wǎng)絡(luò)釣魚檢測(cè)

以對(duì)比已知品牌名稱和熱門網(wǎng)站列表的方式,來檢查NOD相似性的高低,以判斷惡意域名。

·快速威脅檢測(cè)

全自動(dòng)化執(zhí)行NOD檢測(cè),僅需數(shù)分鐘便可依據(jù)新NOD判定惡意域名,在速度上更具優(yōu)勢(shì)。

多層面的立體檢測(cè)

相比于某大型知名威脅情報(bào)綜合分析平臺(tái),僅就啟發(fā)式分析檢測(cè)項(xiàng)目來看,在雙方都標(biāo)記出某個(gè)惡意域名時(shí),Akamai耗時(shí)通常要比綜合分析平臺(tái)早29.6天。

640.jpg

x軸右側(cè)條形圖代表Akamai檢測(cè)系統(tǒng)更快的情況,左側(cè)條形圖代表某綜合分析平臺(tái)更快的情況;y軸代表惡意域名的數(shù)量

為幫助企業(yè)構(gòu)建宏觀的安全視角,Akamai展開的是多層面惡意域名追蹤,由此NOD策略在部分情況下也存在略慢的表現(xiàn)。更為保險(xiǎn)的理想方案是同時(shí)使用NOD策略與綜合分析平臺(tái)。

面對(duì)加密貨幣風(fēng)險(xiǎn)、惡意軟件等攻擊所致的DNS威脅流量威脅,Akamai建議企業(yè)部署多維度的安全策略,將NOD檢測(cè)作為常規(guī)威脅情報(bào)源的補(bǔ)充策略,縮減與攻擊者的信息差,提升網(wǎng)絡(luò)的安全性。

作為DNS領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者,Akamai構(gòu)建的Edge DNS解決方案,也能夠發(fā)揮全球規(guī)模邊緣平臺(tái)優(yōu)勢(shì),助力企業(yè)防范DNS中斷,便捷管理DNS成本,全面抵御DNS數(shù)據(jù)偽造帶來的攻擊威脅。

立即登錄,閱讀全文
原文鏈接:點(diǎn)擊前往 >
文章來源:Akamai
版權(quán)說明:本文內(nèi)容來自于Akamai,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務(wù)商推薦
更多
掃碼登錄
打開掃一掃, 關(guān)注公眾號(hào)后即可登錄/注冊(cè)
加載中
二維碼已失效 請(qǐng)重試
刷新
賬號(hào)登錄/注冊(cè)
小程序
快出海小程序
公眾號(hào)
快出海公眾號(hào)
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家