DNS 安全防备系统技术方案1、产品概述安全 DNS 检测防备系统针对 DNS 层面的网络安全威胁提供了有效 的检测和阻断方案,在较低部署难度和较低成本前提下,能够有效提 升企业内部网络安全威胁发现和处置能力,成为企业网络安全纵深防 御领域的重要一环。设计理念威胁情报威胁情报在网络安全领域越来越成熟,特别是域名类威胁情报的 准确性较高,覆盖 APT 攻击、僵尸网络、蠕虫、黑客工具等多种攻击 场景,在 DNS层面使用域名类威胁情报可以非常有效的在域名层面检 测恶意软件的行为。攻击建模基于网络攻击在域名层面的特征可以构建检测模型,比如恶意软 件常用的环路地址、心跳域名、DNS 隐蔽通道、动态域名等行为都可 以相应的检测模型,在 DNS 层面实现恶意软件行为的检测发现。机器学习机器学习特别是深度学习方式,为 DNS 层面恶意软件行为检测提 供了多种方式,比如基于日常访问特征建立访问基线、DNS 隐蔽通道 检测、DGA 域名检测等,在大数据量的情况下,可有效发现多种恶意 软件行为。阻断处置由于大部分恶意软件在回连控制端和传输数据时使用 DNS 相关 技术,所以在 DNS 层面实现对检测发现的恶意软件行为的阻断,可有 效缓解网络攻击造成的危害,为最终在终端上清除恶意软件提供时间。 2、产品架构WEE 管理平台图 1 产品架构图3、安全 DNS 检测防备系统分为以下几个模块:引擎模块:机器学习引擎、规则引擎、报表引擎,机器学习引擎对心跳域名、 异常域名、DNS 隧道、访问异常进行检测;规则引擎支持对恶意域名、 内容安全进行检测;报表引擎支持定期报表管理和报表发送;存储模块:存储 DNS 解析的日志,并提供高效率的日志归并和检索功能。采集模块:在旁路模式下对流量进行采集,在 DNS 服务器上层交换机上将 DNS 数据镜像到安全 DNS 检测防备系统上;解析模块:日志楼素物上旧井提取大数据弓攀白毂颇流昼/日古旧 TEE Mifc 莞道归解析自定义白名单在递归解析模式下,在终端设备上或路由器上配置 DNS 为安全 DNS 检测防备系统的 IP 地址即可,支持递归查询。假如对客户端的 DNS 请求不能解析的话,后面的查询代替 DNS 客户端进行查询,直到 本地名称服务器从权威名称服务器得到了正确的解析结果,然后由本 地名称服务器告诉 DNS 客户端查询的结果。4、产品优势奇安信集团经过多年来在网络安全领域的投入和讨论,积累了海 量的网络安全和互联网基础数据,并在存储和...
