2018年,我们宣布了我们的领域风险评分,由机器学习分类器提供支持,以预测和识别我们的数据表明可能注册的域名恶意.有效利用域风险评分的关键挑战之一是识别在任何给定时间内最有可能构成威胁的域,以便组织可以集中精力进行阻止和检测工作。为了支持这个用例,我们很自豪地宣布域活动表,一个可预测的、按优先级排序的、易于使用的屏蔽列表,可以识别活跃的、高风险的域,使组织能够主动防范相关的、新出现的威胁。
域热列表中包含的所有域都是高风险的,目前是活跃的;换句话说,操作.此列表为客户提供了一个相对较小、易于管理、重点集中的域集,他们可以使用这些域跟踪、监视和警告网络上的活动恶意域。
什么是域名热列表?
域Hotlist只包含满足两个基本条件的域:
- 该域名已经从我们的域名风险评分中获得了高分。具体来说,在我们的钓鱼、恶意软件或垃圾邮件分类器上得分为90+,或接近度得分为70+
- 该域名最近在网上展示了活动。例如,域在前一天观察到被动DNS (pDNS)活动。
域Hotlist本身包含域名和DomainTools的风险评分组件得分(钓鱼,恶意软件,垃圾邮件和邻近性)。该列表每天生成,每天提供活动域的最新分数。此外,域名以排名顺序出现在列表中,最受关注的域名位于顶部。
由于该列表是由主动遥测技术(如pDNS)制成的,因此Hotlist上的域名组成和数量每天都可能变化。鉴于此,我们最初的期望是每次生成的列表将包含大约100万个域名。
使用域Hotlist
由于Domain Hotlist是一个相对较小的列表,主要关注最近观察到活动的域,因此它为在组织中使用提供了新的可能性。
主动阻塞和规则驱动的操作
基于已操作域的识别,建立抢占式阻塞和规则驱动的操作
域Hotlist为组织提供了一个基于pDNS活动和基于近二十年域和DNS专业知识的预测风险评分的易于获取的屏蔽列表,因此组织可以通知防火墙或DNS屏蔽规则进行主动屏蔽。现有系统或工具可以根据预先建立的基于特定风险评分值阈值的规则对列表中出现的域采取操作。
日志文件充实
自动充实以通知您的工作流
利用域名热列表作为潜在恶意域名的优先级列表,以丰富您的日志文件。主动识别危害指标(ioc),并采取行动完成补救工作流程。
数据增加
利用可操作的数据来提供见解
使用域热列表增强您现有的数据集,以支持优先调查和事件响应流程,这些流程利用DomainTools数据的广度和质量,细致入微的网络安全理解和机器学习专业知识。
活动跟踪
监测攻击进展
作为恶意意图的主要指示器,当检测到列表中的某个域时,可以主动跟踪与该域相关的活动,以观察行为并确定目标。
滥用检测
识别恶意注册的域名
服务提供商可以使用Hotlist提供自己基础设施上的欺诈活动的早期、独立指标,从而更快速地识别滥用行为。