1、產(chǎn)品概述安全DNS檢測防御系統(tǒng)針對DNS層面的網(wǎng)絡(luò)安全威脅提供了有效的檢測和阻斷方案，在較低部署難度和較低成本前提下，能夠有效提升企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)和處置能力，成為企業(yè)網(wǎng)絡(luò)安全縱深防御領(lǐng)域的重要一環(huán)。設(shè)計理念威脅情報在網(wǎng)絡(luò)安全領(lǐng)域越來越成熟，特別是域名類威脅情報的準(zhǔn)確性較高，覆蓋APT攻擊、僵尸網(wǎng)絡(luò)、蠕蟲、黑客工具等多種攻擊場景，在DNS層面使用域名類威脅情報能夠非常有效的在域名層面檢測惡意軟件的行為?；诰W(wǎng)絡(luò)攻擊在域名層面的特征能夠構(gòu)建檢測模型，比如惡意軟件常用的環(huán)路地址、心跳域名、DNS隱蔽通道、動態(tài)域名等行為都能夠相對應(yīng)的檢測模型，在DNS層面實現(xiàn)惡意軟件行為的檢測發(fā)現(xiàn)。機器學(xué)習(xí)特別是深度學(xué)習(xí)方式，為DNS層面惡意軟件行為檢測提供了多種方式，比如基于日常訪問特征建立訪問基線、DNS隱蔽通道檢測、DGA域名檢測等，在大數(shù)據(jù)量的情況下，可有效發(fā)現(xiàn)多種惡意軟件行為。因為大多數(shù)惡意軟件在回連控制端和傳輸數(shù)據(jù)時使用DNS相關(guān)技術(shù)，所以在DNS層面實現(xiàn)對檢測發(fā)現(xiàn)的惡意軟件行為的阻斷，可有效緩解網(wǎng)絡(luò)攻擊造成的危害，為最終在終端上清除惡意軟件提供時間。環(huán)路地址檢測環(huán)路地址檢測心跳域名檢測Dns隧道檢測0GA域名檢測惡意域名檢測自定義黑名單圖1產(chǎn)品架構(gòu)圖安全DNS檢測防御系統(tǒng)的IP地址即可，支持遞歸查詢。如果對客戶端的DNS請求不能解析的話，后面的查詢代替DNS客戶端解析結(jié)果，然后由本地名稱服務(wù)器告訴DNS客戶端查詢的結(jié)果。4、產(chǎn)品優(yōu)勢上(每天、每周、每月)建立解析基線，計算當(dāng)前周期與已有基異常。利用某些惡意軟件的多個C&C會形成DNS查詢序列的特利用威脅情報庫，或攻擊特征(特征可包括域名結(jié)構(gòu)、域名活動周期、域名解析結(jié)果等)將具有關(guān)聯(lián)的攻擊進行聚類，并對(1)惡意域名檢測人工智能結(jié)合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻域名。其中通過對C&C域名的監(jiān)測可發(fā)現(xiàn)APT攻擊、僵尸網(wǎng)絡(luò)、DNS隱蔽通道檢測DNS隱蔽通道是APT攻擊和竊密木馬等高級攻擊中常見的控制和數(shù)據(jù)傳輸方式，因為一般企業(yè)出口都會對53端口的流量放行，所以這種方式日益受到攻擊者的歡迎。安全DNS檢測防御系統(tǒng)可通過常見隱蔽通道工具傳輸規(guī)則、域名行為特點和機器學(xué)習(xí)等多種方式識別隱蔽通道行為，實現(xiàn)對APT攻擊線索的發(fā)現(xiàn)和為有效避開黑名單列表的檢測，攻擊者利用DGA域名生成算法生成隨機字符串，實現(xiàn)C&C控制端通訊和數(shù)據(jù)傳輸。安全機器學(xué)習(xí)得到的DGA域名檢測規(guī)則。本系統(tǒng)基于DGA域