DNS協議作業原理不再贅述~~~
知名的入侵檢測三大模型:Kill Chain 殺生鏈、Diamond Model 鉆石模型、MITRE ATT&CK ????,其中Kill Chain殺傷鏈模型可以拆分惡意軟體的每個攻擊階段,從而實作識別和阻止功能,攻擊階段分為7個,偵查、武器化、部署階段、攻擊階段、后門植入階段、遠程控制階段、后***階段,其中利用DNS相關的有三個階段:
武器化階段:準備0-day攻擊payload,并利用DGA生成DNS域名支撐后續攻擊;
攻擊階段:引導被攻擊者下載并執行Payload(下載Payload可能和域名URL相關);
遠程控制階段:建立C&C通道,獲得指令、開始***(建立心跳、C&C通道和域名相關);
其中DGA演算法是應用比較廣泛的,其目的就是利用DGA演算法生成域名,通過在被控端同樣的計算,產生大量的域名,混淆視聽,鏈接云端的控制端,進行命令控制或資料傳輸,那如何檢測DGA域名呢?目前常見的方式有兩種:
1、威脅情報檢測
利用大資料威脅情報檢測是近幾年興起的技術,其在威脅檢測與安全運營占有越來越重的戲份,其檢測的精準度完全取決于威脅情報的質量,而威脅情報的質量取決于資料,所以像國際大廠火眼、思科等公司,還有國內的360、阿里、騰訊等,尤其是專注于安全的360,均在這方面占有優勢。
2、機器學習演算法檢測
機器學習演算法在威脅檢測領域近些年應用也非常廣泛,其主要彌補傳統IDS特征缺點,并檢測例外行為與未知威脅,用于DGA檢測也非常有效,雖然存在一定誤報率,但仍是比較好的手段之一。
無論是常見的勒索病毒、木馬還是高端的APT攻擊,惡意代碼中通常都會使用DGA手段,通過DNS流量監測,能夠有效發現這些威脅。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/167156.html
標籤:安全技術/病毒
上一篇:MindManager2021永久注冊生成器切換中文教程
下一篇:DC間同步出現問題,求大神指點