DNS安全防御系统技术方案

DNS安全防御系统技术方案1、产品概述安全DNS佥测防御系统针对DNS层面的网络安全威胁提供了有效 的检测和阻断方案， 在较低部署难度和较低成本前提下， 能够有效提 升企业内部网络安全威胁发现和处置能力， 成为企业网络安全纵深防 御领域的重要一环。设计理念威胁情报威胁情报在网络安全领域越来越成熟， 特别是域名类威胁情报的 准确性较高，覆盖APT攻击、僵尸网络、蠕虫、黑客工具等多种攻击 场景，在DNS层面使用域名类威胁情报可以非常有效的在域名层面检 测恶意软件的行为。攻击建模基于网络攻击在域名层面的特征可以构建检测模型， 比如恶意软 件常用的环路地址、心跳域名、DNS急蔽通道、动态域名等行为都可 以相应的检测模型，在DNS层面实现恶意软件行为的检测发现。机器学习机器学习特别是深度学习方式，为DNS层面恶意软件行为检测提 供了多种方式，比如基于日常访问特征建立访问基线、 DNS隐蔽通道 检测、DGA域名检测等，在大数据量的情况下，可有效发现多种恶意 软件行为。阻断处置由于大部分恶意软件在回连控制端和传输数据时使用DNS相关可有技术，所以在DNS层面实现对检测发现的恶意软件行为的阻断, 效缓解网络攻击造成的危害，为最终在终端上清除恶意软件提供时间。2、产品架构政击摸型单4 u Ha.km an kbim nar u kb k uas ! i一 n u J1溢量/日志归一ft流虽萍日若加图1产品架构图3、安全DNS检测防御系统分为以下几个模块:引擎模块：机器学习引擎、规则引擎、报表引擎，机器学习引擎对心跳域名、 异常域名、DNS隧道、访问异常进行检测；规则引擎支持对恶意域名、 内容安全进行检测；报表引擎支持定期报表管理和报表发送；存储模块：存储DNS解析的日志，并提供高效率的日志归并和检索功能。采集模块：在旁路模式下对流量进行采集，在 DNS服务器上层交换机上将 DNS数据镜像到安全DNS佥测防御系统上；解析模块：在递归解析模式下，在终端设备上或路由器上配置DNS为安全DNS检测防御系统的IP地址即可，支持递归查询。如果对客户端的 DNS青求不能解析的话，后面的查询代替 DNSS户端进行查询，直到 本地名称服务器从权威名称服务器得到了正确的解析结果， 然后由本 地名称服务器告诉DNSS户端查询的结果。4、产品优势奇安信集团经过多年来在网络安全领域的投入和研究， 积累了海 量的网络安全和互联网基础数据， 并在存储和处理这些数据中， 具备 了基于EB级数据的分析挖掘技术实力，在大数据处理能力方面遥遥 领先国内的传统安全厂商。佥测恶意软件活动根据DNS请求流量数据，将域名解析记录在不同周期尺度上（每 天、每周、每月）建立解析基线，计算当前周期与已有基线的偏离程 度，以判定当前周期的域名请求内容、请求次数是否异常。利用某些 恶意软件的多个C&C会形成DNSS询序列的特点，通过模型计算可以 发现恶意软件的各种网络行为。深度分析洞悉威胁利用威胁情报库， 或攻击特征（特征可包括域名结构、域名活动 周期、域名解析结果等）将具有关联的攻击进行聚类，并对攻击链路进行关联分析深度挖掘，还原攻击全貌，洞悉高级威胁，提升公司威 胁检测分析和溯源处置能力。及时发现隐蔽通道通过机器学习，DNS异常检测发现DNS隐秘隧道，有效发现攻击 线索，与其它数据关联分析，可以发现高级或隐藏威胁。及时发现僵尸网络根据僵尸网络域名的特性和相关的 IP 属性、端点属性，将 C&C 域名分组， 有助于准确分析僵尸网络感染情况， 可视化展现僵尸网络 的感染范围，挖掘僵尸网络端点，及时发现僵尸网络，提升公司网络 边界安全防护水平。阻断失陷主机通讯在阻断模式下，安全DNS佥测防御设备能够有效的切断被攻陷设 备与外网的联系，防患于未然，避免给企业带来进一步的损失，也给 企业安全风险处置赢得了时间。5、主要功能安全DNS佥测防御系统根据部署场景不同，支持两种模式一一阻 断模式或者分析模式：当DNS佥测防御系统作为递归解析功能时，推荐配置为阻断模式， 可对安全类域名和内容类域名实施阻断和告警；当DNS佥测防御系统作为旁路部署时，推荐配置为分析模式，可 对恶意软件在DNS层面的特征如C&C域名、DGA域名、DNS隐蔽通道、 其他可疑行为实施告警；（1）恶意域名检测基于威胁情报的恶意域名检测威胁情报来自奇安信集团云端的分析成果，可对APT攻击、勒索软件、窃密木马、 僵尸网络等进行规则化描述。奇安信集团依托于云 端的海量数据， 通过基于人工智能自学习的自动化数据处理技术， 依 靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知 威胁的最终确认提供专业高水平的技术支撑， 所有大数据分析出的未 知威胁都会通过专业的人员进行人工干预， 做到精细分析， 确认攻击 手段、攻击对象以及攻击的目的， 通过人工智能结合大数据知识以及 攻击者的多个维度特征还原出攻击者的全貌， 包括程序形态， 不同编 码风格和不同攻击原理的同源木马程序，恶意服务器（C&C等，通过全貌特征跟踪攻击者，持续的发现未知威胁，最终确保发现的 未知威胁的准确性，并生成了可供系统使用的域名类威胁情报。当前域名类威胁情报包括 C&C域名、DGA域名和Sinkhole域名。 其中通过对C&C域名的监测可发现APT攻击、僵尸网络、流氓推广、 网络蠕虫、远程控制、黑市工具、窃密木马等恶意软件攻击的线索。 DGA域名部分请见4.1.3。Sinkhole库来自于安全公司或组织接管的 域名，通过对该域名的监测，可发现恶意软件攻击的线索。DNS隐蔽通道检测DNS隐蔽通道是APT攻击和窃密木马等高级攻击中常见的控制和 数据传输方式，由于一般企业出口都会对 53 端口的流量放行，所以 这种方式日益受到攻击者的欢迎。安全DNS佥测防御系统可通过常见 隐蔽通道工具传输规则、 域名行为特点和机器学习等多种方式识别隐 蔽通道行为，实现对APT攻击线索的发现和告警分析。DGA域名检测为有效避开黑名单列表的检测，攻击者利用DGA域名生成算法生 成随机字符串，实现C&C空制端通讯和数据传输。安全DNS佥测防御 系统中检测方式分为两种：DGA家族域名库和基于机器学习得到的 DGA域名检测规则。本系统基于 DGA域名库实现了精准告警。此外， 基于多个特征在当前DGA域名库上应用机器学习算法，形成了对未知 DGA家族域名检测。异常域名行为告警恶意软件攻击在域名层面有些异常特征，安全DNS佥测防御系统 通过这些特征作为恶意软件攻击发现的检测点。检测方式包括域名 A 记录指向环路地址、心跳域名行为、动态域名。环路地址在 APT攻击 中非常常见，攻击者在C&C空制端不活动时，会将域名指向环路地址， 以避免被溯源到攻击使用的服务器。 心跳域名主要用于客户端与服务 端的心跳通讯。（2）域名行为统计分析Top IPs 统计本系统将解析域名的客户端 IP 地址进行了统计排名，通过统计 可发现异常的通讯情况，比如DNS隐蔽通道即会短时间产生大量域名 请求。在调查分析中， 也可以查看所有访问特定的恶意域名的客户端 IP 列表。Top Domains 统计本系统将所有域名按照解析数量进行了统计排名， 可通过筛选找 到特定域名所有客户端 IP 访问的总数。此外通过此方式还可以对用 户上网行为进行分析。请求数统计在时间维度上展示域名单位时间访问量，可通过对域名和 IP 的 筛选实现对特定域名和客户端 IP 行为分析。请求类型统计在时间轴上统计展示各种类型的域名请求数量，包括A、 AAAA、TXT NS MX ANY等类型。通过异常类型的数量情况，可以发现DGA DNS隐蔽通道等恶意软件行为，比如 DNS隐蔽通道工具使用TXT类型 作为通讯方式，当传输数据时在短时间会出现大量 TXT请求。响应类型统计 在时间轴上统计展示各种类型的域名响应数量， 包括 NXDomainOK ServFail Refused 类型。通过异常类型的数量情况，可以发现 DGA DNS隐蔽通道等恶意软件行为，比如DNS隐蔽通道工具使用TXT 类型作为通讯方式，当传输数据时在短时间会出现大量TXT请求。（3）域名阻断策略管理安全类域名阻断安全类域名阻断可将 C&C域名、DGA域名、Sinkhole的解析地址 转到 126.0.0.1 ，实现恶意软件控制或数据通讯信道的阻断，有效缓 解恶意软件造成的危害。内容类域名阻断系统提供了社交网络、博彩、远程代理、毒品、政治敏感、管制 物品、色情、暴力、赌博、股票、证券公司、基金、外汇共 13 种类 型的域名库。内容类域名可根据用户自行的配置将这些类型的网站域 名解析地址转到 126.0.0.1 。黑/ 白名单管理用户可自定义黑 / 白名单，实现对自定义黑域名的阻断和告警， 和认为正常域名的放行，实现企业内部网络安全和上网行为的管理。（ 4）日志记录日志是对所有可以捕捉到的行为的记录， 包括正常行为和异常行 为。在本系统中分三类：一是DNS青求日志，对所有捕捉到的DNS青 求类型的行为进行记录，记录每一次 IP 对域名的请求信息；支持使 用阻断策略、域名类型、请求类型、时间作为过滤条件对日志进行多 维度的过滤，以便聚焦匹配的结果。 日志默认不展示噪音域名的结果， 但支持展示所有域名，包括CDN域名和域名反向解析请求；二是审计 日志，对用户操作和系统操作审计的记录。三是系统运行日志，记录 设备的CPU内存、磁盘、网络等基础信息，便于用户对系统运行状 态进行跟踪维护。（5）资产管理安全DNS佥测防御系统具备资产管理功能，提供WEB面录入及 Excel 导入的方式添加资产，包括资产类别、资产归属、归属机构的 类型信息，所有的IP产生的DNS3志将和用户导入的资产属性关联， 可以快速的定位发生安全事件IP的资产归属，提高了安全事件的处 置效率。(6)设备级联安全DNS佥测防御系统根据DNSS统多级部署特点实现了级联功 能，建立不同安全DNS佥测防御系统间的数据传输通道。 下级设备可 向上级单位传输系统的运行状态、 DNS日志、告警日志、告警事件， 一个设备可以有多个下级的级联设备但只能有一个上级设备，在级联的情况下可以有效的去掉下级 dnS服务器产生大量的同一 ip请求日 志的干扰，能够更加清晰的掌握下属单位的安全状态。6、典型部署安全DNS检测防御系统的典型部署场景分 3种：产品部署场景1 (递归解析-阻断模式)：为系统的管理口提供一个内网终端客户可访问的IP地址，用于提供DNSS析服务；在终端设备上或路由器上配置 DNS为安全DNS检测防御系统的IP地址，所有将DNS地址指向该DNS服务器上的终端和主机都可得 到安全DNS的防护；为安全DNSS备配置外网可访问的IP地址以升级恶意域名库； 为系统提供一个IP地址，供分析师通过 web方式访问，运维人 员通过账号名和密码即可使用本系统的告警和分析各项功能；出口设备将所有非企业内部 DNS服务器53端口的请求阻断。产品部署场景2 （旁路部署-分析模式）：1、为安全DNS设备配置可访问外网的IP地址以升级恶意域名库;2、为系统管理口提供一个IP地址，供用户通过web方式访问, 运维人员通过账号名和密码即可使用本系统的告警和分析各项功 能；3、在DNS服务器上层交换机上将DNS数据镜像到安全DNS佥 测防御系统的工作口。产品部署场景3 （级联部署）：1、级联模式下各个DNSS全设备可以按照串联或者旁路方式进行部署2、总部机构的DNSS全设备为级联的上级设备，可以为上级设备配置一个或多个下级设备3、分支机构为下级设备，指定总部 DNS为上级设备 7、产品价值?低成本高效的大规模企业网网络安全防护措施;? 实时发现和阻断恶意软件的攻击， 降低网络攻击对业务造成的危害；? 提升应急响应的速度，快速确定内部感染恶意软件的设备；? 安全能力可覆盖所有类型操作系统的终端 ;? 支持移动办公需求，将安全防护的范围延伸到办公区外 ;? 灵活的部署方式，支持旁路和串联两种方式；?检测发现DGA域名、DNSTunnel、木马心跳连接等域名层面的网络攻击行为。