DNS DGA 检测概述
域名系统 (DNS) 域生成算法 (DGA) 生成随机域名,用作与潜在 C&C 服务器的会合点。DNS DGA 检测使用机器学习模型以及已知的预计算 DGA 域名并提供域判定,这有助于在 SRX 系列防火墙上对 DNS 查询进行内联阻止和沉洞处理。
瞻博网络 ATP 云提供基于机器学习的 DGA 检测模型。SRX 系列防火墙充当安全元数据的收集器,并将元数据流式传输到瞻博网络 ATP 云以进行 DGA 分析。我们使用 ATP 云服务和安全元数据流框架在云中执行 DGA 检测。
DNS DGA 检测仅适用于瞻博网络 ATP 云许可证。有关特定于功能的许可信息,请参阅 ATP 云的软件许可证
要查看 DNS DGA 检测,请登录瞻博网络 ATP 云 Web 门户并导航至监控> DNS。DGA 检测结果如图 1 所示
图 1:DNS DGA 页面
要在 SRX 系列防火墙上启用 DNS DGA 检测,请参阅 《瞻博网络高级威胁防御云管理指南》。
注意:
默认情况下,域名系统安全扩展 (DNSSEC) 和 DNS 扩展机制 (EDNS) 查询处于丢弃状态。