AI驱动的DNS威胁智能检测,构建主动式防御体系
善树科技DNS协议威胁行为智能检测系统针对当前DNS协议威胁检测技术手段规则更新不及时、未知威胁发现能力弱、告警业务转化率低等问题,充分利用机器学习、人工智能、大数据等技术,研制DNS异常检测、DGA域名检测、DNS隧道木马检测、DNS威胁衍生推理、威胁情报关联等智能分析模型,构建DNS行为基线,学习DNS威胁行为规律,检测多维DNS威胁要素,识别DNS衍生威胁,并在此基础上融合已知威胁情报、衍生威胁情报、DNS威胁告警进行威胁行为关联挖掘与推理预测,实现DNS变异威胁、未知DNS威胁、DNS隐蔽通信行为智能检测,输出可支持事件处置的精准线索。
该系统在大数据与人工智能分析技术的支撑下,可辅助用户构建一套无需依赖先验知识(如黑名单、威胁情报等)的主动式防御体系,通过对海量DNS查询行为进行行为建模与异常分析,实现对新型、隐蔽的恶意域名的实时检测与早期预警,为DNS威胁行为的精准发现、及时通报、高效处置提供技术支撑。
该系统在某网安部门进行试点应用,完成异常通联检测模型、DGA恶意域名检测模型、DNS隧道木马检测模型以及多源威胁情报融合分析等模型的部署应用与调优。