Home

360netlab Blog

这是什么？

netlab迷弟追星日记最菜安全数据分析工程师的朝圣

我好奇的内容

数据从哪来有多少 PassiveDNS系统 BotnetMon DNSMon Whois、证书、IP、样本等基础数据系统 360 DNS 威胁分析平台 (DTA)

DNSMon 自己生产 + 合作伙伴？约中国 10%+ 预警：
单个域名单位时间内更换多个IP地址位置相差巨大小访问量的域名，大范围的切换服务地址非多IP共用

来源：https://blog.netlab.360.com/wannacry-from-dns-and-sinkhole-view/ 2. Whois、证书、IP、样本等基础数据系统

我与DNS数据分析的渊源

在我实习的时候(21年) 做了一个课题 “GOV站点的WAF品牌分布” 最开始是通过攻击流量请求与响应做指纹匹配后来发现了一个高效率无害化的针对 SAAS WAF的检测方式通过CNAME RDATA 判定因为大多数SASS WAF的接入都使用了 CNAME进行引流后来经验转化了一个工具 WWaf
去年(22年) 公司发展MSS战略我所在的团队承接了其中安全分析告警降噪以及建模的能力建设的工作主要工作内容是负责在海量安全设备收集的告警找到真正存在风险的告警通过建立告警推送策略生产告警. 在其中我发现安全设备对情报的使用仅仅是匹配到了就告警太过粗暴比如DNSlog信息外带，是否有带出信息，带出的信息内容的意义。恶意程序外链与设备属性关系设备访问IOC是否建立链接对应告警危害的程度都应该是不同的
今年(23年) 我所在的团队孵化的产品 “邮件反诈监测服务” 我牵头了该方向的威胁情报的工作主要是钓鱼IOC的生产有我们产品生产的也有来自关联测绘的在运营工作中发现了真实账户被盗对外发起钓鱼邮件攻击的情况生产了一些知名政企被盗威胁情报很快我们发现这些情报有一些误报有根本不存在的账户其原因是部分企业的SPF记录存在配置错误的问题导致了被伪造该邮件域的账户进行攻击活动. 之后我们又生产了知名企业存在邮件域身份伪造分析的情报
今年(24年) 荒废了这个project好久去年是LLM的元年我和其他弄潮儿们一样疯狂的加入了 LLM 学习的浪潮中用LLM实现了一些东西总感觉没那么好用稍微修改一些内容都会引发很多的变化不确定性太强了现在热情逐渐消退。今年开了新项目 CNAPP 我作为类似产品的角色关于安全能力目前也只有我一个人即设计能力构成又构建原子能力Demo 很担忧因为我错误的决策或者选型影响了产品为了实现全量系统事件数据能力我选择使用了 avro 来作为数据流转 avro可以在 hadoop中加载再进行流的事件检测以及离线的检测参考了 sysflow 我觉得这个项目的设计理念很不错但是现在研发的实现有点偏离我总是无法说服这些只是理想状态与研发的同学还是选择已有经验还是要实践才能说服我相信一点会更好的。对了我想在这个产品里设计一个小小的 dnsmon 也算致敬一下偶像 netlab 换了新的公司看起来还是原班人马最近blog更新的很快希望他们越来越好