- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
DNS 安全防御系统技术方案
1、产品概述
安全DNS 检测防御系统针对DNS 层面的网络安全威胁提供了有效 的检测和阻断方案, 在较低部署难度和较低成本前提下, 能够有效提 升企业内部网络安全威胁发现和处置能力, 成为企业网络安全纵深防 御领域的重要一环。
设计理念
威胁情报
威胁情报在网络安全领域越来越成熟, 特别是域名类威胁情报的 准确性较高,覆盖APT 攻击、僵尸网络、蠕虫、黑客工具等多种攻击 场景, 在DNS 层面使用域名类威胁情报可以非常有效的在域名层面检
测恶意软件的行为。
攻击建模
基于网络攻击在域名层面的特征可以构建检测模型, 比如恶意软 件常用的环路地址、心跳域名、 DNS 隐蔽通道、动态域名等行为都可
以相应的检测模型,在DNS 层面实现恶意软件行为的检测发现。
机器学习
机器学习特别是深度学习方式, 为DNS 层面恶意软件行为检测提 供了多种方式,比如基于日常访问特征建立访问基线、 DNS 隐蔽通道 检测、 DGA 域名检测等,在大数据量的情况下,可有效发现多种恶意 软件行为。
阻断处置
由于大部分恶意软件在回连控制端和传输数据时使用 DNS 相关 技术, 所以在DNS 层面实现对检测发现的恶意软件行为的阻断, 可有 效缓解网络攻击造成的危害, 为最终在终端上清除恶意软件提供时间。
2、产品架构
图1 产品架构图
3、安全 DNS 检测防御系统分为以下几个模块:
引擎模块:
机器学习引擎、规则引擎、报表引擎,机器学习引擎对心跳域名、 异常域名、 DNS 隧道、 访问异常进行检测; 规则引擎支持对恶意域名、 内容安全进行检测;报表引擎支持定期报表管理和报表发送;
存储模块:
存储DNS 解析的日志,并提供高效率的日志归并和检索功能。
采集模块:
在旁路模式下对流量进行采集,在 DNS 服务器上层交换机上将
DNS 数据镜像到安全DNS 检测防御系统上;
解析模块:
在递归解析模式下,在终端设备上或路由器上配置 DNS 为安全 DNS 检测防御系统的 IP 地址即可,支持递归查询。如果对客户端的 DNS 请求不能解析的话,后面的查询代替DNS 客户端进行查询,直到 本地名称服务器从权威名称服务器得到了正确的解析结果, 然后由本 地名称服务器告诉DNS 客户端查询的结果。
4、产品优势
奇安信集团经过多年来在网络安全领域的投入和研究, 积累了海 量的网络安全和互联网基础数据, 并在存储和处理这些数据中, 具备 了基于 EB 级数据的分析挖掘技术实力,在大数据处理能力方面遥遥 领先国内的传统安全厂商。
检测恶意软件活动
根据DNS 请求流量数据, 将域名解析记录在不同周期尺度上(每 天、每周、每月)建立解析基线,计算当前周期与已有基线的偏离程 度,以判定当前周期的域名请求内容、请求次数是否异常。利用某些 恶意软件的多个CC 会形成DNS 查询序列的特点, 通过模型计算可以
发现恶意软件的各种网络行为。
深度分析洞悉威胁
利用威胁情报库, 或攻击特征(特征可包括域名结构、域名活动 周期、域名解析结果等)将具有关联的攻击进行聚类,并对攻击链路
进行关联分析深度挖掘,还原攻击全貌,洞悉高级威胁,提升公司威 胁检测分析和溯源处置能力。
及时发现隐蔽通道
通过机器学习, DNS 异常检测发现DNS 隐秘隧道,有效发现攻击 线索,与其它数据关联分析,可以发现高级或隐藏威胁。
及时发现僵尸网络
根据僵尸网络域名的特性和相关的 IP 属性、端点属性,将 CC 域名分组, 有助于准确分析僵尸网络感染情况, 可视化展现僵尸网络 的感染范围,挖掘僵尸网络端点,及时发现僵尸网络,提升公司网络 边界安全防护水平。
阻断失陷主机通讯
在阻断模式下, 安全DNS 检测防御设备能够有效的切断被攻陷设 备与外网的联系,防患于未然,避免给企业带来进一步的损失,也给 企业安全风险处置赢得了时间。
5、主要功能
安全DNS 检测防御系统根据部署场景不同, 支持两种模式——阻
断模式或者分析模式:
当DNS 检测防御系统作为递归解析功能时, 推荐配置为阻断模式,
可对安全类域名和内容类域名实施阻断和告警;
当DNS 检测防御系统作为旁路部署时, 推荐配置为分析模式, 可 对恶意软件在DNS 层面的特征如 CC 域名、DGA 域名、DNS 隐蔽通道、 其他可疑行为实施告警;
(1)恶意域名检测
基于威胁情报的恶意域名检测
威胁情报来自奇安信集团云端的分析成果, 可对 APT 攻击、 勒索 软件、窃密木马、 僵尸网络等进行规则化描述。奇安信集团依托于云 端的海量数据, 通过基于人工智能自学习的自动化数据处理技术, 依 靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知 威胁的最终确认提供专业高水平的技术支撑, 所有大数据分析
文档评论(0)