DNS DGA 检测概述
域名系统(DNS)域名生成算法(DGA)生成看似随机的域名,用作与潜在C&C服务器的集合点。DNS DGA 检测使用机器学习模型以及已知的预先计算的 DGA 域名,并提供域判定,这有助于在 SRX 系列防火墙上内联阻止和下沉 DNS 查询。
瞻博网络 ATP 云提供基于机器学习的 DGA 检测模型。SRX 系列防火墙充当安全元数据的收集器,并将元数据流式传输到瞻博网络 ATP 云进行 DGA 分析。我们使用 ATP 云服务和安全元数据流框架在云中进行 DGA 检查。
DNS DGA 检测仅适用于 ATP 云高级许可证。
要查看 DNS DGA 检测,请登录到瞻博网络 ATP 云 Web 门户并导航到 监控> DNS。将显示 DGA 检测结果,如图 1 所示。
图 1:DNS DGA 页面
DGA 检测程序
DNS DGA 检测过程如下:
- 客户端生成 DNS 请求并将其转发到公司 DNS 服务器。
- 企业 DNS 服务器检查其本地缓存,发现它没有匹配的记录。发生缓存未命中,公司 DNS 服务器尝试查询公共 DNS 服务器。
- SRX 系列设备接收记录类型为 A/AAAA/CNAME/MX 等的 DNS 请求。
- SRX 系列设备收到 DNS 查询后,将查询其本地 DNS 缓存。
- 如果缓存中不存在域(缓存未命中),SRX 会将域发送到瞻博网络 ATP 云进行分析。
- 瞻博网络 ATP 云服务运行快速 DGA 机器学习模型,并根据以下判定对 SRX 系列设备做出响应。
-
清洁
-
Dga
-
可疑
-
- 如果缓存中存在域(缓存命中),SRX 系列设备将查询判决。
- 如果域干净,SRX 系列设备将转发查询并忽略会话的其余部分。
- 如果域标记为 DGA,SRX 系列设备将执行策略中定义的操作(允许/丢弃/下沉/日志等)
- 如果缓存中不存在域,则 SRX 系列设备
- 复制域并将其发送到瞻博网络 ATP 云进行 DGA 分析。
- 将查询转发到其原始目标,并从挂起的响应数据包请求适当的上下文(查询类型)。
注意:
只有 Secintel 能够检查其允许列表、阻止列表和 C&C。安全元数据流 CLI 配置不会针对此列表执行匹配。必须在策略上启用这两个功能才能检测 C&C 和 DGA/隧道。