----发现skidmap的未知后门用DNS数据做安全DNS协议作为互联网的基础和核心协议,其承载的数据在一定程度上能够反映使用域名提供服务的业务发展情况。使用了DNS服务的恶意行为也不例外,对DNS数据进行安全分析,可以涵盖绝大多数恶意行为。早期利用DNS数据进行安全检测典型的场景包括针对DGA和fastflux的检测。尽管检测这两类恶意行为的具体方法多种多样(比如检测DGA域名从少量的统计维度,到多特征的机器学习再到基于时序的深度学习检测等等),但是其核心仍然是以纯DNS数据为基础即可完成检测。能这么做的最主要的原因是这两类恶意行为的关键特征在DNS数据上体现的已经非常明显,几乎不需要或者仅需要少量外部数据的辅助即可以完成快速,准确的检测。但现实中不同的恶意软件由于其目的和所运行环境(比如Windows,Linux,macOS等操作系统对协议栈的实现)差异很大,其在DNS数据中留下的痕迹也各不相同,此时仅依靠DNS数据就难以或者说是几乎不可能高效的完成从数据清洗,聚合,检测,校验和防御的闭环。面对海量DNS数据(其他的基础数据也类似)利用大数据分析方法产出的多如牛毛的(异常)线索但无法对其进行精确定性的威胁情报(IOC)的尴尬局面。在数据,算力和机器智能算法快速发展的今天,我们相信DNS安全未来的一个方向是海量DNS基础数据结合其他多种维度数据进行关联整合,