DNS安全防御系统技术方案.docxVIP

DNS 安全防御系统技术方案 1、产品概述 安全DNS 检测防御系统针对DNS 层面的网络安全威胁提供了有效的检测和阻断方案，在较低部署难度和较低成本前提下，能够有效提升企业内部网络安全威胁发现和处置能力，成为企业网络安全纵深防御领域的重要一环。 设计理念 威胁情报 威胁情报在网络安全领域越来越成熟，特别是域名类威胁情报的准确性较高，覆盖APT 攻击、僵尸网络、蠕虫、黑客工具等多种攻击场景，在 DNS 层面使用域名类威胁情报可以非常有效的在域名层面检测恶意软件的行为。 攻击建模 基于网络攻击在域名层面的特征可以构建检测模型，比如恶意软件常用的环路地址、心跳域名、DNS 隐蔽通道、动态域名等行为都可以相应的检测模型，在DNS 层面实现恶意软件行为的检测发现。 机器学习 机器学习特别是深度学习方式，为 DNS 层面恶意软件行为检测提供了多种方式，比如基于日常访问特征建立访问基线、DNS 隐蔽通道检测、DGA 域名检测等，在大数据量的情况下，可有效发现多种恶意软件行为。 阻断处置 由于大部分恶意软件在回连控制端和传输数据时使用 DNS 相关技术，所以在 DNS 层面实现对检测发现的恶意软件行为的阻断，可有效缓解网络攻击造成的危害，为最终在终端上清除恶意软件提供时间。2、产品架构 图1 产品架构图 3、安全DNS 检测防御系统分为以下几个模块： 引擎模块： 机器学习引擎、规则引擎、报表引擎，机器学习引擎对心跳域名、异常域名、DNS 隧道、访问异常进行检测；规则引擎支持对恶意域名、内容安全进行检测；报表引擎支持定期报表管理和报表发送； 存储模块： 存储DNS 解析的日志，并提供高效率的日志归并和检索功能。采集模块： 在旁路模式下对流量进行采集，在 DNS 服务器上层交换机上将DNS 数据镜像到安全DNS 检测防御系统上； 解析模块： 在递归解析模式下，在终端设备上或路由器上配置 DNS 为安全DNS 检测防御系统的 IP 地址即可，支持递归查询。如果对客户端的DNS 请求不能解析的话，后面的查询代替DNS 客户端进行查询，直到本地名称服务器从权威名称服务器得到了正确的解析结果，然后由本地名称服务器告诉DNS 客户端查询的结果。 4、产品优势 奇安信集团经过多年来在网络安全领域的投入和研究，积累了海量的网络安全和互联网基础数据，并在存储和处理这些数据中，具备了基于 EB 级数据的分析挖掘技术实力，在大数据处理能力方面遥遥领先国内的传统安全厂商。 检测恶意软件活动 根据DNS 请求流量数据，将域名解析记录在不同周期尺度上（每天、每周、每月）建立解析基线，计算当前周期与已有基线的偏离程度，以判定当前周期的域名请求内容、请求次数是否异常。利用某些恶意软件的多个CC 会形成DNS 查询序列的特点，通过模型计算可以发现恶意软件的各种网络行为。 深度分析洞悉威胁 利用威胁情报库，或攻击特征（特征可包括域名结构、域名活动周期、域名解析结果等）将具有关联的攻击进行聚类，并对攻击链路 进行关联分析深度挖掘，还原攻击全貌，洞悉高级威胁，提升公司威胁检测分析和溯源处置能力。 及时发现隐蔽通道 通过机器学习，DNS 异常检测发现DNS 隐秘隧道，有效发现攻击线索，与其它数据关联分析，可以发现高级或隐藏威胁。 及时发现僵尸网络 根据僵尸网络域名的特性和相关的 IP 属性、端点属性，将 CC 域名分组，有助于准确分析僵尸网络感染情况，可视化展现僵尸网络的感染范围，挖掘僵尸网络端点，及时发现僵尸网络，提升公司网络边界安全防护水平。 阻断失陷主机通讯 在阻断模式下，安全 DNS 检测防御设备能够有效的切断被攻陷设备与外网的联系，防患于未然，避免给企业带来进一步的损失，也给企业安全风险处置赢得了时间。 5、主要功能 安全DNS 检测防御系统根据部署场景不同，支持两种模式——阻断模式或者分析模式： 当DNS 检测防御系统作为递归解析功能时，推荐配置为阻断模式， 可对安全类域名和内容类域名实施阻断和告警； 当DNS 检测防御系统作为旁路部署时，推荐配置为分析模式，可对恶意软件在DNS 层面的特征如CC 域名、DGA 域名、DNS 隐蔽通道、其他可疑行为实施告警； 恶意域名检测 基于威胁情报的恶意域名检测 威胁情报来自奇安信集团云端的分析成果，可对 APT 攻击、勒索软件、窃密木马、僵尸网络等进行规则化描述。奇安信集团依托于云端的海量数据，通过基于人工智能自学习的自动化数据处理技术，依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知 威胁的最终确认提供专业高水平的技术支撑，所有大数据分析出的未知威胁都会通过专业的人员进行人工干预，做到精细分析，确认攻击手段、攻击对象以及攻击的目的，通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌，包括程序形态，不同