威脅檢測越全面、越立體�,越能讓企業(yè)及時、有效地建立安全防線�。Akamai安全研究團(tuán)隊近期發(fā)現(xiàn),應(yīng)用NOD(Newly Observed Domain,新發(fā)現(xiàn)的域名)這項數(shù)字資產(chǎn)�,能夠顯著提速標(biāo)記新惡意域名的檢測效率。
威脅檢測越全面�、越立體,越能讓企業(yè)及時�、有效地建立安全防線。Akamai安全研究團(tuán)隊近期發(fā)現(xiàn),應(yīng)用NOD(Newly Observed Domain,新發(fā)現(xiàn)的域名)這項數(shù)字資產(chǎn)�,能夠顯著提速標(biāo)記新惡意域名的檢測效率。
在2022年上半年�,Akamai研究人員根據(jù)NOD數(shù)據(jù)集,標(biāo)記了近7900萬個惡意域名�,平均至每月大約1300萬個惡意域名,在全部成功解析的NOD中占比20.1%�。
一款威脅檢測利器
利用NOD威脅檢測惡意域名如此高效,那么這一概念具體指的是哪些域名�,它又是從何而來的呢?Akamai會從CacheServe客戶(通常是ISP)提供的匿名DNS(域名系統(tǒng))查詢字段數(shù)據(jù)中提取域名�,并跟蹤上次觀測時間。對于過去60天內(nèi)首次查詢的域名�,Akamai都會視其為NOD,即新發(fā)現(xiàn)的域名�。
相比于其他監(jiān)控NOD企業(yè)0.5-72h的時間窗口,Akamai設(shè)置長達(dá)60天窗口是為了確保只關(guān)注新注冊且隱蔽性強(qiáng)的域名�,也正是在這個窗口期洞察到了大量新發(fā)現(xiàn)和即將出現(xiàn)的DNS網(wǎng)絡(luò)威脅。通過擴(kuò)增數(shù)據(jù)集規(guī)模�,Akamai安全研究人員能夠緊密追蹤從未成功解析的DNS查詢,掌控安全偵測全局�。
多路徑的高效檢測
如今,Akamai安全研究團(tuán)隊每天可以發(fā)現(xiàn)約1200萬個NOD�,并成功解析超過200萬個。監(jiān)控�、標(biāo)記惡意域名威脅進(jìn)程中�,主要應(yīng)用如下檢測方法:
四種常用檢測方法
·域名生成算法(DGA)
應(yīng)用逆向工程掌握DGA內(nèi)部工作機(jī)制創(chuàng)建域名數(shù)據(jù)庫�,覆蓋未來30年內(nèi)可能出現(xiàn)的域名。
·啟發(fā)式分析法
Akamai已創(chuàng)建190多個特定NOD檢測規(guī)則�,并持續(xù)應(yīng)用機(jī)器學(xué)習(xí)技術(shù)擴(kuò)展啟發(fā)式分析法。
·網(wǎng)絡(luò)釣魚檢測
以對比已知品牌名稱和熱門網(wǎng)站列表的方式�,來檢查NOD相似性的高低,以判斷惡意域名�。
·快速威脅檢測
全自動化執(zhí)行NOD檢測,僅需數(shù)分鐘便可依據(jù)新NOD判定惡意域名�,在速度上更具優(yōu)勢。
多層面的立體檢測
相比于某大型知名威脅情報綜合分析平臺�,僅就啟發(fā)式分析檢測項目來看,在雙方都標(biāo)記出某個惡意域名時�,Akamai耗時通常要比綜合分析平臺早29.6天。
x軸右側(cè)條形圖代表Akamai檢測系統(tǒng)更快的情況�,左側(cè)條形圖代表某綜合分析平臺更快的情況;y軸代表惡意域名的數(shù)量
為幫助企業(yè)構(gòu)建宏觀的安全視角�,Akamai展開的是多層面惡意域名追蹤,由此NOD策略在部分情況下也存在略慢的表現(xiàn)�。更為保險的理想方案是同時使用NOD策略與綜合分析平臺。
面對加密貨幣風(fēng)險�、惡意軟件等攻擊所致的DNS威脅流量威脅�,Akamai建議企業(yè)部署多維度的安全策略,將NOD檢測作為常規(guī)威脅情報源的補(bǔ)充策略�,縮減與攻擊者的信息差�,提升網(wǎng)絡(luò)的安全性�。
作為DNS領(lǐng)域的市場領(lǐng)導(dǎo)者,Akamai構(gòu)建的Edge DNS解決方案�,也能夠發(fā)揮全球規(guī)模邊緣平臺優(yōu)勢,助力企業(yè)防范DNS中斷�,便捷管理DNS成本,全面抵御DNS數(shù)據(jù)偽造帶來的攻擊威脅�。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號
