用DTA照亮DNS威胁分析之路 (2)
这篇主要介绍了专有威胁情报生产以及未知威胁狩猎 原理很简单 通过各种维度排除所有的可能是正常访问剩下的一定是不正常的 哈哈哈 这个排除逻辑内置了许多白名单 还有许多帮助研判的信息 样本网络行为的Fdark、域名注册信息的Whois、域名备案信息的ICP、证书信息的Fcerti、各类统计信息的大网PDNS等等
可以直接将这些操作固化成模型 并进行监控 告警
这篇主要介绍了专有威胁情报生产以及未知威胁狩猎 原理很简单 通过各种维度排除所有的可能是正常访问剩下的一定是不正常的 哈哈哈 这个排除逻辑内置了许多白名单 还有许多帮助研判的信息 样本网络行为的Fdark、域名注册信息的Whois、域名备案信息的ICP、证书信息的Fcerti、各类统计信息的大网PDNS等等
可以直接将这些操作固化成模型 并进行监控 告警