Submit Search
Upload
恶意域名识别与分析 -董靖.pdf
•
0 likes
•
4 views
Y
yangning15
Follow
恶意域名识别与分析 -董靖.pdf
Read less
Read more
Software
Report
Share
Report
Share
1 of 30
Download now
Download to read offline
Recommended
Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptx
Alan Lee
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud
分布式爬虫
分布式爬虫
drewz lin
淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践
丁 宇
金山云查询系统改进之路1
金山云查询系统改进之路1
Zoom Quiet
淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化
丁 宇
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)
im_yunshu
Recommended
Discovering botnets from dns traffic using map reduce 5.pptx
Discovering botnets from dns traffic using map reduce 5.pptx
Alan Lee
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud
分布式爬虫
分布式爬虫
drewz lin
淘宝网前台应用性能优化实践
淘宝网前台应用性能优化实践
丁 宇
金山云查询系统改进之路1
金山云查询系统改进之路1
Zoom Quiet
淘宝前台系统性能分析与优化
淘宝前台系统性能分析与优化
丁 宇
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)
im_yunshu
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程
WASecurity
淘宝主备数据库自动切换
淘宝主备数据库自动切换
mysqlops
分布式爬虫
分布式爬虫
mysqlops
MySQL自动切换设计与实现
MySQL自动切换设计与实现
orczhou
主库自动切换 V2.0
主库自动切换 V2.0
jinqing zhu
Linux system security
Linux system security
Kenny (netman)
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
大规模网站架构
大规模网站架构
drewz lin
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
Another Introduce to Redis
Another Introduce to Redis
jiaqing zheng
mercury
mercury
moonbingbing
合久必分,分久必合
合久必分,分久必合
Qiangning Hong
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展
Sky Jian
網站上線了,然後呢?
網站上線了,然後呢?
Kirk Chen
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
Scourgen Hong
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践
Wensong Zhang
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Wales Chen
Построение гиперболического параболоида
Построение гиперболического параболоида
bekkermankn
More Related Content
Similar to 恶意域名识别与分析 -董靖.pdf
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程
WASecurity
淘宝主备数据库自动切换
淘宝主备数据库自动切换
mysqlops
分布式爬虫
分布式爬虫
mysqlops
MySQL自动切换设计与实现
MySQL自动切换设计与实现
orczhou
主库自动切换 V2.0
主库自动切换 V2.0
jinqing zhu
Linux system security
Linux system security
Kenny (netman)
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
大规模网站架构
大规模网站架构
drewz lin
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
Another Introduce to Redis
Another Introduce to Redis
jiaqing zheng
mercury
mercury
moonbingbing
合久必分,分久必合
合久必分,分久必合
Qiangning Hong
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展
Sky Jian
網站上線了,然後呢?
網站上線了,然後呢?
Kirk Chen
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
Scourgen Hong
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践
Wensong Zhang
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Wales Chen
Построение гиперболического параболоида
Построение гиперболического параболоида
bekkermankn
Similar to 恶意域名识别与分析 -董靖.pdf
(20)
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
一次详细的渗透Wordpress教程
一次详细的渗透Wordpress教程
淘宝主备数据库自动切换
淘宝主备数据库自动切换
分布式爬虫
分布式爬虫
MySQL自动切换设计与实现
MySQL自动切换设计与实现
主库自动切换 V2.0
主库自动切换 V2.0
Linux system security
Linux system security
用戶端攻擊與防禦
用戶端攻擊與防禦
大规模网站架构
大规模网站架构
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
Another Introduce to Redis
Another Introduce to Redis
mercury
mercury
合久必分,分久必合
合久必分,分久必合
基于MySQL开放复制协议的同步扩展
基于MySQL开放复制协议的同步扩展
網站上線了,然後呢?
網站上線了,然後呢?
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Построение гиперболического параболоида
Построение гиперболического параболоида
恶意域名识别与分析 -董靖.pdf
1.
恶 意 域
名 识 别 与 分 析
2.
cirrusgate.com 1 预 测
发 现 未 知 威 胁 的 能 力
3.
cirrusgate.com 2 有 大 数 据 就 足 够 了 吗 ? 大 海 捞 针 只 见 森 林
4.
cirrusgate.com 3 发 现
未 知 威 胁 , 你 需 要 一 条 线 索
5.
cirrusgate.com 4 n f
c x h x d t t c . c n
6.
cirrusgate.com 5 n f
c x h x d t t c . c n 2015年 6月 21日 - 内 网 DNS 解 析 请 求
7.
cirrusgate.com 6 Conficker • 随机生成
50,000 个域名/天 • 110 个TLD • 随机尝试连接 500 个/天 • 随机生成 250 个域名/天 • 5 个TLD • 尝试连接所有域名 . A . D 2 0 0 8 年 1 1 月
8.
cirrusgate.com 7 n f
c x h x d t t c . c n 192.168.20.157 域 名 解 析 请 求 DNS 日 志 终 端 Z 跟 踪 线 索 定 位 威 胁 CSIRT 检 测 确 定 Conficker 感 染
9.
cirrusgate.com 8 线 索
异 常 文 件 行 为 流 量 应 用 数 据 分 析 引 擎 发 现 未 知 威 胁 , 你 需 要 一 条 线 索
10.
cirrusgate.com 9 线 索
与 威 胁 情 报 Domain Name Object nfcxhxdttc.cn 更 多 信 息 逐 步 加 入
11.
cirrusgate.com 10 域 名
生 成 算 法 DGA 用 于 C&C 联 络 qnqgkouekldintl.net eppgftqgclxcnpk.biz rosfjxmtnwxynff.ru fqrfedivfwsseom.org spvkivucmxqfcee.co.uk grukdbqeexlychh.info tqxjhfmrpjlvjih.com hswjckithjgpays.net ugywcyndspvscaq.biz vtxlfehkkmeikgx.ru vhbvbifsvbqjcws.org wuakenyanxyybtr.co.uk wiebagnbucjpceq.info Cryptolocker il6ytoywktgp8xv3ve1j3av1v.net t5rr78orl5hw12yheez187kkui.com 9x8t00yk5xhfaw0s0a149r2xk.biz knvqi4fh8yyx13dja5p10mwpww.com gcsqzp1nybe4ssw2hzrwructz.com 1qtkve01cjzsju1hvcsi9d4mmvv.org tqms0g1rr25lmsf61hhseu3jc.com ch9quv19fwudc1l4755d3anvbg.org 4czl1m1iarfcz1o4ssl6cz3eb6.biz dvs9mfhuhphv1jxw4ovdwqv7r.net dbz9th1udt7i310igjatir5c85.com e5pfzy16huhygttl5w0sj3wky.net 2dn4pf1fqa6ivsqm2vx19j9knh.biz Gameover Zeus
12.
cirrusgate.com 11 杀毒软件合法回传样本特征 16-0.19-a3000000.10082.1644.976.3ea3.410.0.6bq4kprjdsbmpkj2kvtanwl1db.avts.mcafee.com DNS 隐
蔽 隧 道 上 传 关 键 数 据 上传关键数据的线索 dacsjmxlt7p53j8p775hc.nam9hi6nqcc4j6e6wo7d25.56.85h5.com onmg5rfhnrvam7554qxue5p55n.9i9jpu9uc96ovgbpebog8up69a.56.nbgtr.com x8p3ux2hao7ngoi9vrinr445k8.l2os599igokrhlire5uiofx2oa.56.vcxde.com FrameworkPOS木马上传信用卡数据 [Unique ID].beacon.[Encoded IP].[Encoded Hostname].[C&C Server].[TLD] [Unique ID].alert.[Encoded App Name].[C&C Server].[TLD] [Unique ID].[Encoded Credit Card Data].[Encoded Credit Card Data].[C&C Server].[TLD]
13.
cirrusgate.com 12 Domain Shadowing 域名阴影,利用失窃口令的正常域名账户,大量创建子域名进行钓鱼攻 击。此恶意攻击手法非常有效且难以遏止。因为防御方无法获悉下一个 被黑客利用的账户,所以几乎没有办法预测下一个受害者。
14.
cirrusgate.com 13 采 用
混 淆 手 法 的 钓 鱼 域 名
15.
cirrusgate.com 14 利 用
TXT 记 录 下 载 指 令 和 payload Updating Of Malicious Code Patterns Using Public DNS Servers United States Patent US8171467
16.
cirrusgate.com 15 恶 意
域 名 作 为 线 索 • 符 合 语 言 习 惯 • 容 易 记 忆 • 有 语 义 特 征 • 使 用 记 录 符 合 通 常 习 惯 • 时 间 长 , 使 用 稳 定 • 难 以 发 音 阅 读 • 无 法 记 忆 • 内 容 无 意 义 • 恶 意 使 用 记 录 的 特 征 明 显 • 创 建 时 间 短 , 使 用 不 频 繁 正 常 异 常
17.
cirrusgate.com 16 企 业
内 发 现 恶 意 域 名 的 价 值 极 高 • 直 指 被 入 侵 设 备 • 发 现 未 能 防 御 的 未 知 威 胁 • 关 联 性 和 及 时 性 完 胜 信 誉 库
18.
cirrusgate.com 17 基 于
已 知 特 征 的 信 誉 库 的 实 际 效 果 如 何 ?
19.
cirrusgate.com 18 B i
t . l y 对 流 行 信 誉 库 的 实 际 测 试 恶 意 网 址 识 别 率 14 % 28 %
20.
cirrusgate.com 19 自 然
语 言 处 理 机 器 学 习 数 据 挖 掘 利 用 先 进 技 术 在 海 量 D N S 数 据 中 发 现 恶 意 域 名
21.
cirrusgate.com 20 • N-grams •
Random Forest • Levenshtein Distance • 自 有 算 法 库 • C 4 . 5 • Adaboosting • Word Segmentation 算 法 组 合 与 特 征 选 取
22.
cirrusgate.com 21 发 现
异 常 域 名 就 结 束 了 吗 ? 4000万 某 省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万
23.
cirrusgate.com 22 帮 助
安 全 人 员 更 好 地 使 用 线 索 : 恶 意 域 名 分 类 分 析
24.
cirrusgate.com 23 ~100 4000 万 某
省 2 4 小 时 唯 一 域 名 数 量 发 现 异 常 域 名 数 量 60万 异 常 域 名 分 类 线 索 数 量 级 要 降 到 安 全 人 员 可 以 分 析
25.
cirrusgate.com 24 发 现
DNS 隐 蔽 信 道 下 载 payload • TXT 记 录 长 度 有 限 , 需 要 多 次 查 询 才 能 拼 接 payload • 同 一 终 端 频 繁 发 送 同 源 恶 意 域 名 解 析 请 求 • 自 动 批 量 查 询 同 源 恶 意 域 名 组 TXT 记 录 • 是 否 存 在 多 个 下 载 数 据 长 度 超 过 1 0 0 字 符 情 景 • 与 正 常 记 录 不 同 的 字 符 使 用 组 合
26.
cirrusgate.com 25 • 计
算 节 点 横 向 扩 展 配 置 简 单 • 算 法 和 规 则 库 升 级 快 速 便 捷 高 性 能 嵌 入 式 易 扩 展 • 单 线 程 性 能 : > 2 0 万 条 / 秒 • 模 块 化 嵌 入 SIEM 、NGFW 、AV 、Sandbo x 等 • 小 型 化 、轻 资 源 消 耗 应 用 场 景 广 泛 才 能 成 功
27.
cirrusgate.com 26 • 拼
音 和 数 字 域 名 (360 、51 、kaixin001) • 白 名 单 的 稀 缺 和 不 可 靠 • 缺 少 可 供 机 器 学 习 的 国 内 样 本 • 不 规 范 的 域 名 滥 用 现 象 (xshzzxx.net ) • 易 用 的 人 机 交 互 界 面 产 品 化 中 的 工 程 难 点
28.
cirrusgate.com 27 复 杂
的 域 名 生 态 环 境 : 经 验 与 知 识 的 积 累 cdn.marketplacecontent.windowsphone.com.nsatc.net www.update.microsoft.com.nsatc.net login.passport.com.nsatc.net v4windowsupdate.microsoft.nsatc.net eds-anon.xboxlive.com.nsatc.net r.msn.com.nsatc.net clientconfig.microsoftonline-p.net.nsatc.net advertising.microsoft.com.nsatc.net mobileads.msn.com.nsatc.net login.live.com.nsatc.net
29.
cirrusgate.com 28 应 对
高 级 DGA 算 法 带 来 的 新 挑 战 live app update login ser vice mobile account PayPal + + manager apis content checking sh0p transfer statement repor t customer c1ient feedback transaction fraud secure
30.
cirrusgate.com 29 那 些
来 不 及 讲 的 … • 实 时 阻 断 与 警 告 • 与 其 它 来 源 线 索 交 叉 定 位 入 侵 • 揭 示 入 侵 路 径 和 时 间 • 威 胁 情 报 生 产 • 安 全 服 务
Download now