新型DNS威胁检测策略：30天内，高效标记1300万个恶意域名

威胁检测越全面、越立体，越能让企业及时、有效地建立安全防线。Akamai安全研究团队近期发现，应用NOD（Newly Observed Domain,新发现的域名）这项数字资产，能够显著提速标记新恶意域名的检测效率。

在2022年上半年，Akamai研究人员根据NOD数据集，标记了近7900万个恶意域名，平均至每月大约1300万个恶意域名，在全部成功解析的NOD中占比20.1%。

一款威胁检测利器

利用NOD威胁检测恶意域名如此高效，那么这一概念具体指的是哪些域名，它又是从何而来的呢？Akamai会从CacheServe客户（通常是ISP）提供的匿名DNS（域名系统）查询字段数据中提取域名，并跟踪上次观测时间。对于过去60天内首次查询的域名，Akamai都会视其为NOD，即新发现的域名。

相比于其他监控NOD企业0.5-72h的时间窗口，Akamai设置长达60天窗口是为了确保只关注新注册且隐蔽性强的域名，也正是在这个窗口期洞察到了大量新发现和即将出现的DNS网络威胁。通过扩增数据集规模，Akamai安全研究人员能够紧密追踪从未成功解析的DNS查询，掌控安全侦测全局。

多路径的高效检测

如今，Akamai安全研究团队每天可以发现约1200万个NOD，并成功解析超过200万个。监控、标记恶意域名威胁进程中，主要应用如下检测方法：

四种常用检测方法

·域名生成算法（DGA）

应用逆向工程掌握DGA内部工作机制创建域名数据库，覆盖未来30年内可能出现的域名。

·启发式分析法

Akamai已创建190多个特定NOD检测规则，并持续应用机器学习技术扩展启发式分析法。

·网络钓鱼检测

以对比已知品牌名称和热门网站列表的方式，来检查NOD相似性的高低，以判断恶意域名。

·快速威胁检测

全自动化执行NOD检测，仅需数分钟便可依据新NOD判定恶意域名，在速度上更具优势。

多层面的立体检测

相比于某大型知名威胁情报综合分析平台，仅就启发式分析检测项目来看，在双方都标记出某个恶意域名时，Akamai耗时通常要比综合分析平台早29.6天。

x轴右侧条形图代表Akamai检测系统更快的情况，左侧条形图代表某综合分析平台更快的情况；y轴代表恶意域名的数量

为帮助企业构建宏观的安全视角，Akamai展开的是多层面恶意域名追踪，由此NOD策略在部分情况下也存在略慢的表现。更为保险的理想方案是同时使用NOD策略与综合分析平台。

面对加密货币风险、恶意软件等攻击所致的DNS威胁流量威胁，Akamai建议企业部署多维度的安全策略，将NOD检测作为常规威胁情报源的补充策略，缩减与攻击者的信息差，提升网络的安全性。

作为DNS领域的市场领导者，Akamai构建的Edge DNS解决方案，也能够发挥全球规模边缘平台优势，助力企业防范DNS中断，便捷管理DNS成本，全面抵御DNS数据伪造带来的攻击威胁。

相关推荐: 中通快递广西钦州网点开展夏季送清凉活动中通快递广西钦州网点开展夏季送清凉活动

6月16日消息，中通快递广西钦州网点近日设立启用“夏日送清凉，关爱暖人心”补给站，每日为高温下坚守一线的工作人员准备西瓜、矿泉水、板蓝根颗粒、藿香正气液、凉茶、毛巾、冰袖等防暑降温物品，该补给站将持续设立三个月。 图源：中通之声官微，下同 “小哥是网点最宝贵的…