DNS 安全防备系统技术方案1、产品概述安全 DNS 检测防备系统针对 DNS 层面的网络安全威胁提供了有效 的检测和阻断方案,在较低部署难度和较低成本前提下,能够有效提 升企业内部网络安全威胁发现和处置能力,成为企业网络安全纵深防 御领域的重要一环
设计理念威胁情报威胁情报在网络安全领域越来越成熟,特别是域名类威胁情报的 准确性较高,覆盖 APT 攻击、僵尸网络、蠕虫、黑客工具等多种攻击 场景,在 DNS层面使用域名类威胁情报可以非常有效的在域名层面检 测恶意软件的行为
攻击建模基于网络攻击在域名层面的特征可以构建检测模型,比如恶意软 件常用的环路地址、心跳域名、DNS 隐蔽通道、动态域名等行为都可 以相应的检测模型,在 DNS 层面实现恶意软件行为的检测发现
机器学习机器学习特别是深度学习方式,为 DNS 层面恶意软件行为检测提 供了多种方式,比如基于日常访问特征建立访问基线、DNS 隐蔽通道 检测、DGA 域名检测等,在大数据量的情况下,可有效发现多种恶意 软件行为
阻断处置由于大部分恶意软件在回连控制端和传输数据时使用 DNS 相关 技术,所以在 DNS 层面实现对检测发现的恶意软件行为的阻断,可有 效缓解网络攻击造成的危害,为最终在终端上清除恶意软件提供时间
2、产品架构WEE 管理平台图 1 产品架构图3、安全 DNS 检测防备系统分为以下几个模块:引擎模块:机器学习引擎、规则引擎、报表引擎,机器学习引擎对心跳域名、 异常域名、DNS 隧道、访问异常进行检测;规则引擎支持对恶意域名、 内容安全进行检测;报表引擎支持定期报表管理和报表发送;存储模块:存储 DNS 解析的日志,并提供高效率的日志归并和检索功能
采集模块:在旁路模式下对流量进行采集,在 DNS 服务器上层交换机上将 DNS 数据镜像到安全 DNS 检测防备系统上;解析模块:日志楼素物上旧井提取大数据
