七年一剑，360 DNS威胁分析平台

dns流量是360netlab 非常重要的安全分析数据的组成 DTA 在我看来就是一个私有化的 PassiveDNS系统并提供了数据分析安全告警被动资产识别等功能的一个产品我本职工作就是做创新安全产品孵化的调研其他安全产品是我工作内容之一那就按照我平时调研产品的方式记录一下

360 DNS威胁分析平台 (DTA)

DNS威胁分析

N:客户无法“看见”网络内究竟在发生什么，有没有真正高可疑的威胁，如果有威胁能否进行有效的分析

A:实际现在大客户都有态感网络层依靠 IDS NDR 主机层依靠 HIDS 是能够看到一些的不过这些都是根据已知的特征以及行为特征建模和威胁情报生产告警这里DNS的并没有针对DNS做分析的

现状：现有的情报使用大多是dns请求了一个恶意的IOC 流量设备根据情报产生一条告警能够跳转到情报平台查看 IOC相关信息太过粗暴手动访问恶意IOC就会被触发

N：DTA能将情报和本地具体的请求行为，资产信息相结合来分析

猜测实现逻辑：比如一个window机器触发了一个linux 上才会有的恶意程序IOC DTA应该就不会报警？恶意程序的行为恶意程序会访问多个IOC 这个访问的频率顺序以及时间能对应上恶意程序的状态？

现状：安全设备是一个黑盒子，客户只能被动接收设备的告警，但无论是基于规则的告警，还是基于算法或情报的告警，都是基于通用场景设计的，不是为某个具体企业或某次具体攻击行为设计的。而企业面临的威胁错综复杂，通用场景设计的规则往往很难有效发现一些定向攻击、高级攻击。

N：DTA 以安全分析专家的视角去设计威胁分析功能，用户既可以简单直接查看系统经过多重环节筛选后的有效告警，更可以主动在产品内深入分析自己企业网络的流量。

A猜测实现逻辑：恶意流量行为建模加多维度如DNS流量对资产画像时间以及在线情报等生产有效告警全日志存储能够支撑安全专家人工分析数据挖掘

内网部署DNS流量接入即可应该支持作为DNS server使用或者镜像DNS流量即可检测内网潜伏的已知威胁(情报)、未知威胁和网络异常(行为特征建模)，精准定位失陷资产，并提供丰富的威胁线索和分析工具

主要是DTA 未知威胁检测模型检测 0-day 攻击、定向攻击、APT 攻击与传统依靠规则和情报的 IDS NDR 检测区分开实际上现在的NDR也支持类似的建模当然也只是支持基于 DNS 流量的未知威胁检测 netlab 在这方面经验应该会更丰富

提供：未知威胁、高级威胁检测威胁分析能力

成本低部署简单覆盖范围广支持检测恶意程序以及C2

A：安全建设初期的客户应该也没有很多 WEB 服务或者其他的服务恶意程序应该是主要存在的威胁

安全运营部门或行业监管部门 提供区域的态势分析 大数据经验 行为模型生产未知威胁告警 安全解析服务 弹性扩缩容 各种云部署模式

恶意行为建模 情报关联

行为模型 流量特征

A：非单一会话流量告警现有的设备大多数都是单一会话流量特征告警

丰富告警关联信息: 各种维度的画像威胁线索拓线日志富化

A：如果以SASS模式部署就可以丰富PDNS数据库了当然这不合适实际上这套东西对使用者的水平还是要有一定要求的不然就是多了个封DNS的线索了