DNSMon

DNSMon: 用DNS数据进行威胁发现

----发现skidmap的未知后门用DNS数据做安全DNS协议作为互联网的基础和核心协议,其承载的数据在一定程度上能够反映使用域名提供服务的业务发展情况。使用了DNS服务的恶意行为也不例外,对DNS数据进行安全分析,可以涵盖绝大多数恶意行为。早期利用DNS数据进行安全检测典型的场景包括针对DGA和fastflux的检测。尽管检测这两类恶意行为的具体方法多种多样(比如检测DGA域名从少量的统计维度,到多特征的机器学习再到基于时序的深度学习检测等等),但是其核心仍然是以纯DNS数据为基础即可完成检测。能这么做的最主要的原因是这两类恶意行为的关键特征在DNS数据上体现的已经非常明显,几乎不需要或者仅需要少量外部数据的辅助即可以完成快速,准确的检测。但现实中不同的恶意软件由于其目的和所运行环境(比如Windows,Linux,macOS等操作系统对协议栈的实现)差异很大,其在DNS数据中留下的痕迹也各不相同,此时仅依靠DNS数据就难以或者说是几乎不可能高效的完成从数据清洗,聚合,检测,校验和防御的闭环。面对海量DNS数据(其他的基础数据也类似)利用大数据分析方法产出的多如牛毛的(异常)线索但无法对其进行精确定性的威胁情报(IOC)的尴尬局面。在数据,算力和机器智能算法快速发展的今天,我们相信DNS安全未来的一个方向是海量DNS基础数据结合其他多种维度数据进行关联整合,

  • Zhang Zaifeng
    Zhang Zaifeng
  • RootKiter
    RootKiter
18 min read
DNSMon

360netlab上线域名IOC(威胁情报)评估标准及评估数据服务

版本一:程序员版 一直以来,由于高门槛,安全圈里对威胁情报质量没有一个很好的评估手段, PR狠的公司的威胁情报就更好么? 名头响的公司的威胁情报就更好么? 使用了机器学习人工智能这些热词的威胁情报就更好么? 拿了一堆排排坐吃果果的奖的公司的威胁情报就更好么? 难有人能给个说法,所以最后我们看到用户只能回到一个聊胜于无的方法,哪家的威胁情报的总数多哪家就好,出现的告警次数多哪家就好! 这个方法其实巨坑,举个🌰: A和B厂家提供两份威胁情报,A有10万条IOC,B有5万条IOC。 A的10万条IOC在实际网络中总命中IOC不到1000条,产生了20000次告警。 B的5万条IOC在实际网络中命中IOC15000条,也产生了20000次告警。 你愿意选择哪个? 那咋办? 经过一段时间的准备,我们推出来了个一个公益的评估标准,而且还免费提供大网的实际评估数据从而让客户有真实数据评估。 我们这么干是为啥? 是不是有啥阳谋,要怎么收数据之类的?(答案,没有,看看我们的正经页面就能懂)

  • Zhang Zaifeng
    Zhang Zaifeng
4 min read