DNS DGA 检测概述
域名系统 (DNS) 域生成算法 (DGA) 生成看似随机的域名,用作与潜在 C&C 服务器的会合点。DNS DGA 检测使用机器学习模型以及已知的预计算 DGA 域名并提供域判定,这有助于在 SRX 系列防火墙上对 DNS 查询进行内联拦截和沉洞处理。
瞻博网络 ATP 云提供基于机器学习的 DGA 检测模型。SRX 系列防火墙充当安全元数据的收集器,并将元数据流式传输到瞻博网络 ATP 云以进行 DGA 分析。我们使用 ATP 云服务和安全元数据流框架在云中执行 DGA 检测。
DNS DGA 检测仅适用于瞻博网络 ATP 云许可证。有关特定于功能的许可信息,请参阅 ATP 云的软件许可证。
要查看 DNS DGA 检测,请登录瞻博网络 ATP 云 Web 门户并导航至 监控> DNS。DGA 检测结果如 图 1 所示。
图 1:DNS DGA 页面
DGA检测程序
DNS DGA 检测过程如下:
- 客户端生成 DNS 请求并将其转发到企业 DNS 服务器。
- 企业 DNS 服务器检查其本地缓存,发现它没有匹配的记录。发生缓存未命中,企业 DNS 服务器尝试查询公共 DNS 服务器。
- SRX 系列设备接收记录类型为 A/AAAA/CNAME/MX 的 DNS 请求,依此类推。
- 一旦 SRX 系列设备收到 DNS 查询,它将查询其本地 DNS 缓存。
- 如果缓存中不存在域(缓存未命中),SRX 会将域发送到瞻博网络 ATP 云进行分析。
- 瞻博网络 ATP 云服务运行快速 DGA 机器学习模型,并使用以下判定响应 SRX 系列设备。
-
干净
-
DGA
-
可疑
-
- 如果缓存中存在域(缓存命中),SRX 系列设备将参考该裁决。
- 如果域是干净的,则 SRX 系列设备将转发查询并忽略会话的其余部分。
- 如果域标记为 DGA,则 SRX 系列设备将采取策略中定义的操作(允许/丢弃/沉洞/日志等)
- 如果缓存中不存在域,则 SRX 系列设备
- 复制域并将其发送到瞻博网络 ATP 云以进行 DGA 分析。
- 将查询转发到其原始目标,并从挂起的响应数据包中请求相应的上下文(查询类型)。
注意:
只有 Secintel 能够检查其允许列表、阻止列表和 C&C。security-metadata-streaming CLI 配置不会针对此列表执行匹配。必须在策略上启用这两个功能,才能检测 C&C 和 DGA/隧道。