DNS-аналитика - DNS analytics

DNS Аналитика это наблюдение (сбор и анализ) DNS трафик в пределах компьютерная сеть. Такой анализ DNS трафик имеет важное применение в информационная безопасность и компьютерная криминалистика, в первую очередь при выявлении инсайдерские угрозы, вредоносное ПО, кибероружие, и продвинутая постоянная угроза (APT) кампании в компьютерных сетях.

Поскольку процессы и взаимодействия DNS Analytics включают взаимодействие между DNS-клиентами и DNS-серверами во время разрешения DNS-запросов и обновлений, они могут включать такие задачи, как ведение журнала запросов, исторический мониторинг по узлам, табулирование количества запросов и расчеты на основе сетевого трафика. Запросы. Хотя основным драйвером для DNS Analytics является описанная ниже безопасность, другой мотивацией является понимание трафика сети, чтобы его можно было оценить для улучшения или оптимизации. Например, DNS Analytics можно использовать для сбора данных в лаборатории, где делается большое количество связанных запросов на обновления программного обеспечения ПК. Обнаружив это, можно установить локальный сервер обновлений для улучшения сети.

Опубликованные исследования

Исследования в области общественного достояния показывают, что спонсируемые государством вредоносное ПО и APT кампании показывают DNS индикаторы компрометации (МОК). С июня 2010 г. анализ кибероружие платформы и агенты были предприняты лабораториями, включая Лаборатория Касперского, ESET, Symantec, McAfee, Норман Сейфграунд, и Mandiant. Результаты, опубликованные этими организациями, включают подробный анализ Stuxnet,[1] Пламя,[2] Скрытая рысь,[3] Операция Троя,[4] NetTraveler,[5] Операция Похмелье,[6] Mandiant APT1,[7] и Карето.[8] Эти вредоносное ПО и APT кампании можно надежно идентифицировать в компьютерных сетях с помощью инструментов аналитики DNS.

Рекомендации

  1. ^ «Stuxnet под микроскопом» (PDF). ESET. Архивировано из оригинал (PDF) на 2011-07-10. Получено 2014-02-25.
  2. ^ "Крыша в огне - отслеживание пламени C&C серверов". Лаборатория Касперского.
  3. ^ «Скрытая рысь» (PDF). Symantec. Архивировано из оригинал (PDF) на 2014-08-09. Получено 2014-02-25.
  4. ^ «Операция по рассечению Трои» (PDF). McAfee.
  5. ^ "Путешественник по сети, часть 1" (PDF). Лаборатория Касперского.
  6. ^ «Открытие индийской инфраструктуры для кибератак» (PDF). Норман Сейфграунд.
  7. ^ "Отчет Mandiant APT1" (PDF). Mandiant.
  8. ^ «Открытие маски» (PDF). Лаборатория Касперского.