DNS安全防御系统技术方案Word文档下载推荐.docx
《DNS安全防御系统技术方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《DNS安全防御系统技术方案Word文档下载推荐.docx(9页珍藏版)》请在冰点文库上搜索。
图1产品架构图
3、安全DNS检测防御系统分为以下几个模块:
引擎模块:
机器学习引擎、规则引擎、报表引擎,机器学习引擎对心跳域名、异常域名、DNS隧道、访问异常进行检测;
规则引擎支持对恶意域名、内容安全进行检测;
报表引擎支持定期报表管理和报表发送;
存储模块:
存储DNS解析的日志,并提供高效率的日志归并和检索功能。
采集模块:
在旁路模式下对流量进行采集,在DNS服务器上层交换机上将DNS数据镜像到安全DNS检测防御系统上;
解析模块:
在递归解析模式下,在终端设备上或路由器上配置DNS为安全DNS检测防御系统的IP地址即可,支持递归查询。
如果对客户端的DNS请求不能解析的话,后面的查询代替DNS客户端进行查询,直到本地名称服务器从权威名称服务器得到了正确的解析结果,然后由本地名称服务器告诉DNS客户端查询的结果。
4、产品优势
奇安信集团经过多年来在网络安全领域的投入和研究,积累了海量的网络安全和互联网基础数据,并在存储和处理这些数据中,具备了基于EB级数据的分析挖掘技术实力,在大数据处理能力方面遥遥领先国内的传统安全厂商。
检测恶意软件活动
根据DNS请求流量数据,将域名解析记录在不同周期尺度上(每天、每周、每月)建立解析基线,计算当前周期与已有基线的偏离程度,以判定当前周期的域名请求内容、请求次数是否异常。
利用某些恶意软件的多个C&
C会形成DNS查询序列的特点,通过模型计算可以发现恶意软件的各种网络行为。
深度分析洞悉威胁
利用威胁情报库,或攻击特征(特征可包括域名结构、域名活动周期、域名解析结果等)将具有关联的攻击进行聚类,并对攻击链路进行关联分析深度挖掘,还原攻击全貌,洞悉高级威胁,提升公司威胁检测分析和溯源处置能力。
及时发现隐蔽通道
通过机器学习,DNS异常检测发现DNS隐秘隧道,有效发现攻击线索,与其它数据关联分析,可以发现高级或隐藏威胁。
及时发现僵尸网络
根据僵尸网络域名的特性和相关的IP属性、端点属性,将C&
C域名分组,有助于准确分析僵尸网络感染情况,可视化展现僵尸网络的感染范围,挖掘僵尸网络端点,及时发现僵尸网络,提升公司网络边界安全防护水平。
阻断失陷主机通讯
在阻断模式下,安全DNS检测防御设备能够有效的切断被攻陷设备与外网的联系,防患于未然,避免给企业带来进一步的损失,也给企业安全风险处置赢得了时间。
5、主要功能
安全DNS检测防御系统根据部署场景不同,支持两种模式——阻断模式或者分析模式:
当DNS检测防御系统作为递归解析功能时,推荐配置为阻断模式,可对安全类域名和内容类域名实施阻断和告警;
当DNS检测防御系统作为旁路部署时,推荐配置为分析模式,可对恶意软件在DNS层面的特征如C&
C域名、DGA域名、DNS隐蔽通道、其他可疑行为实施告警;
(1)恶意域名检测
基于威胁情报的恶意域名检测
威胁情报来自奇安信集团云端的分析成果,可对APT攻击、勒索软件、窃密木马、僵尸网络等进行规则化描述。
奇安信集团依托于云端的海量数据,通过基于人工智能自学习的自动化数据处理技术,依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&
C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供系统使用的域名类威胁情报。
当前域名类威胁情报包括C&
C域名、DGA域名和Sinkhole域名。
其中通过对C&
C域名的监测可发现APT攻击、僵尸网络、流氓推广、网络蠕虫、远程控制、黑市工具、窃密木马等恶意软件攻击的线索。
DGA域名部分请见4.1.3。
Sinkhole库来自于安全公司或组织接管的域名,通过对该域名的监测,可发现恶意软件攻击的线索。
DNS隐蔽通道检测
DNS隐蔽通道是APT攻击和窃密木马等高级攻击中常见的控制和数据传输方式,由于一般企业出口都会对53端口的流量放行,所以这种方式日益受到攻击者的欢迎。
安全DNS检测防御系统可通过常见隐蔽通道工具传输规则、域名行为特点和机器学习等多种方式识别隐蔽通道行为,实现对APT攻击线索的发现和告警分析。
DGA域名检测
为有效避开黑名单列表的检测,攻击者利用DGA域名生成算法生成随机字符串,实现C&
C控制端通讯和数据传输。
安全DNS检测防御系统中检测方式分为两种:
DGA家族域名库和基于机器学习得到的DGA域名检测规则。
本系统基于DGA域名库实现了精准告警。
此外,基于多个特征在当前DGA域名库上应用机器学习算法,形成了对未知DGA家族域名检测。
异常域名行为告警
恶意软件攻击在域名层面有些异常特征,安全DNS检测防御系统通过这些特征作为恶意软件攻击发现的检测点。
检测方式包括域名A记录指向环路地址、心跳域名行为、动态域名。
环路地址在APT攻击中非常常见,攻击者在C&
C控制端不活动时,会将域名指向环路地址,以避免被溯源到攻击使用的服务器。
心跳域名主要用于客户端与服务端的心跳通讯。
(2)域名行为统计分析
TopIPs统计
本系统将解析域名的客户端IP地址进行了统计排名,通过统计可发现异常的通讯情况,比如DNS隐蔽通道即会短时间产生大量域名请求。
在调查分析中,也可以查看所有访问特定的恶意域名的客户端IP列表。
TopDomains统计
本系统将所有域名按照解析数量进行了统计排名,可通过筛选找到特定域名所有客户端IP访问的总数。
此外通过此方式还可以对用户上网行为进行分析。
请求数统计
在时间维度上展示域名单位时间访问量,可通过对域名和IP的筛选实现对特定域名和客户端IP行为分析。
请求类型统计
在时间轴上统计展示各种类型的域名请求数量,包括A、AAAA、TXT、NS、MX、ANY等类型。
通过异常类型的数量情况,可以发现DGA、DNS隐蔽通道等恶意软件行为,比如DNS隐蔽通道工具使用TXT类型作为通讯方式,当传输数据时在短时间会出现大量TXT请求。
响应类型统计
在时间轴上统计展示各种类型的域名响应数量,包括NXDomain、OK、ServFail、Refused类型。
(3)域名阻断策略管理
安全类域名阻断
安全类域名阻断可将C&
C域名、DGA域名、Sinkhole的解析地址转到126.0.0.1,实现恶意软件控制或数据通讯信道的阻断,有效缓解恶意软件造成的危害。
内容类域名阻断
系统提供了社交网络、博彩、远程代理、毒品、政治敏感、管制物品、色情、暴力、赌博、股票、证券公司、基金、外汇共13种类型的域名库。
内容类域名可根据用户自行的配置将这些类型的网站域名解析地址转到126.0.0.1。
黑/白名单管理
用户可自定义黑/白名单,实现对自定义黑域名的阻断和告警,和认为正常域名的放行,实现企业内部网络安全和上网行为的管理。
(4)日志记录
日志是对所有可以捕捉到的行为的记录,包括正常行为和异常行为。
在本系统中分三类:
一是DNS请求日志,对所有捕捉到的DNS请求类型的行为进行记录,记录每一次IP对域名的请求信息;
支持使用阻断策略、域名类型、请求类型、时间作为过滤条件对日志进行多维度的过滤,以便聚焦匹配的结果。
日志默认不展示噪音域名的结果,但支持展示所有域名,包括CDN域名和域名反向解析请求;
二是审计日志,对用户操作和系统操作审计的记录。
三是系统运行日志,记录设备的CPU、内存、磁盘、网络等基础信息,便于用户对系统运行状态进行跟踪维护。
(5)资产管理
安全DNS检测防御系统具备资产管理功能,提供WEB界面录入及Excel导入的方式添加资产,包括资产类别、资产归属、归属机构的类型信息,所有的IP产生的DNS日志将和用户导入的资产属性关联,可以快速的定位发生安全事件IP的资产归属,提高了安全事件的处置效率。
(6)设备级联
安全DNS检测防御系统根据DNS系统多级部署特点实现了级联功能,建立不同安全DNS检测防御系统间的数据传输通道。
下级设备可向上级单位传输系统的运行状态、DNS日志、告警日志、告警事件,一个设备可以有多个下级的级联设备但只能有一个上级设备,在级联的情况下可以有效的去掉下级DNS服务器产生大量的同一IP请求日志的干扰,能够更加清晰的掌握下属单位的安全状态。
6、典型部署
安全DNS检测防御系统的典型部署场景分3种:
产品部署场景1(递归解析-阻断模式):
为系统的管理口提供一个内网终端客户可访问的IP地址,用于提供DNS解析服务;
在终端设备上或路由器上配置DNS为安全DNS检测防御系统的IP地址,所有将DNS地址指向该DNS服务器上的终端和主机都可得到安全DNS的防护;
为安全DNS设备配置外网可访问的IP地址以升级恶意域名库;
为系统提供一个IP地址,供分析师通过web方式访问,运维人员通过账号名和密码即可使用本系统的告警和分析各项功能;
出口设备将所有非企业内部DNS服务器53端口的请求阻断。
产品部署场景2(旁路部署-分析模式):
1、为安全DNS设备配置可访问外网的IP地址以升级恶意域名库;
2、为系统管理口提供一个IP地址,供用户通过web方式访问,运维人员通过账号名和密码即可使用本系统的告警和分析各项功能;
3、在DNS服务器上层交换机上将DNS数据镜像到安全DNS检测防御系统的工作口。
产品部署场景3(级联部署):
1、级联模式下各个DNS安全设备可以按照串联或者旁路方式进行部署
2、总部机构的DNS安全设备为级联的上级设备,可以为上级设备配置一个或多个下级设备
3、分支机构为下级设备,指定总部DNS为上级设备
7、产品价值
Ø
低成本高效的大规模企业网网络安全防护措施;
实时发现和阻断恶意软件的攻击,降低网络攻击对业务造成的危害;
提升应急响应的速度,快速确定内部感染恶意软件的设备;
安全能力可覆盖所有类型操作系统的终端;
支持移动办公需求,将安全防护的范围延伸到办公区外;
灵活的部署方式,支持旁路和串联两种方式;
检测发现DGA域名、DNSTunnel、木马心跳连接等域名层面的网络攻击行为。
升级会员 