- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-DGA域名檢測配置
本章節下載: 13-DGA域名檢測配置 (401.04 KB)
目 錄
DGA域名檢測功能基於深度學習算法,能高效檢測出DNS請求報文中可能包含的DGA域名,及時封堵內網僵屍主機與C&C服務器(Command and Control Server,用於向惡意軟件下達攻擊指令的服務器)的通信流量;並可輸出DGA域名檢測日誌,經數據分析中心綜合處理後,生成僵屍網絡分析報告,使管理員能夠精確定位內網僵屍主機。關於數據分析中心的詳細介紹,請參見“DPI深度安全配置指導”中的“數據分析中心”。
某些惡意軟件在感染了內網主機後,需要定期與外網的C&C服務器通信,接收來自C&C服務器的指令,並向其傳遞被感染主機上的隱私數據。
通常,惡意軟件會采用如下方式與C&C服務器通信:
· 固定IP:惡意軟件直接與C&C服務器的固定IP地址通信。
· 靜態域名:惡意軟件通過一個固定域名與C&C服務器通信。
· 靜態域名列表:惡意軟件在固定域名列表中選擇一個域名與C&C服務器通信。
· DGA域名:惡意軟件通過由DGA算法(Domain Generation Algorithm,域名生成算法)動態生成的域名與C&C服務器通信。
對於管理員而言,固定IP、靜態域名和靜態域名列表的訪問方式很容易通過IP地址黑名單和域名黑名單進行流量封堵;而DGA算法的不可預測性,使得惡意軟件能利用DGA域名輕易地繞過傳統基於黑名單的防禦方式與C&C服務器通信。
DGA算法是一種偽隨機算法(Pseudo-Random Algorithm),能將特定的隨機種子(通常是係統當前日期)作為輸入,輸出一係列具備如下特征的域名字符串:
· 隨機性:不同隨機種子生成的域名字符串的文本差異性較大。
· 單向性:惡意軟件的控製者可以通過特定的隨機種子還原出惡意軟件與C&C服務器通信時將要采用的域名,而其他人無法通過域名字符串反推DGA算法或隨機種子。
惡意軟件的控製者與侵入內網的惡意軟件運行同一套DGA算法。控製者可以事先通過確定的隨機種子生成大量備選域名,隻需要在約定的通信時間前將一小部分域名在域名係統上注冊,即可順利實現與內網惡意軟件的交互。
圖1-1所示為DGA域名檢測功能的係統架構。DGA域名檢測功能需要在設備上安裝智能業務平台模塊,智能業務平台模塊上帶有AI引擎,用於部署利用深度學習技術生成的DGA域名特征模型以及相關檢測算法。關於智能業務平台模塊的詳細介紹,請參見“DPI深度安全配置指導”中的“智能業務平台”。
圖1-1 DGA域名檢測係統架構圖
設備將待檢測域名發送給智能業務平台模塊後,由智能業務平台模塊對域名進行檢測。智能業務平台模塊調用AI引擎,將待檢測域名與DGA域名特征模型進行匹配,利用深度學習算法判定待檢測域名是否為DGA域名。之後,智能業務平台模塊將檢測結果發送給設備,設備根據配置的處理動作對被判定為請求解析DGA域名的DNS請求報文執行阻斷或放行操作。
圖1-1所示硬件外觀僅示意,請以硬件的實際外觀為準。
圖1-2所示為設備對接收到的DNS請求報文進行DGA域名檢測的具體流程。
圖1-2 DGA域名檢測功能處理流程圖
DGA域名檢測功能的處理流程如下:
(2) 域名提取。設備將DNS請求報文中的請求域名提取出來作為待檢測域名。
(3) 匹配例外域名。設備將待檢測域名與所配置的例外域名進行匹配,根據匹配結果的不同,設備有如下處理方式:
¡ 待檢測域名為例外域名:設備不對該域名進行後續DGA域名檢測,放行DNS請求報文。待檢測域名不為例外域名:設備執行步驟(3),繼續進行DGA緩存匹配。
(4) 匹配DGA緩存。DGA緩存用於維護一定時間內各IP地址發起DGA域名解析請求的曆史記錄。DGA緩存的主要內容包括:
¡ 源IP地址:DNS請求報文的源IP地址。
¡ DGA域名訪問次數:源IP地址請求解析DGA域名的總次數(發送一個請求解析DGA域名的DNS請求報文算作一次)。
¡ 源IP地址的狀態:包括凍結狀態和非凍結狀態。
¡ 剩餘凍結時間:處於凍結狀態的源IP地址的剩餘凍結時間。
根據匹配結果的不同,設備有如下處理方式:
¡ 如果DNS請求報文的源IP地址在DGA緩存中存在,說明源IP地址曾有過DGA域名訪問曆史,根據DGA緩存中該IP地址的狀態不同,設備有如下處理動作:
- IP地址為凍結狀態:設備阻斷DNS請求報文。
- IP地址為非凍結狀態:如果DGA緩存中該IP地址的DGA域名訪問次數低於5次,設備執行步驟(4),繼續對域名進行檢測;否則設備放行DNS請求報文。
¡ 如果DNS請求報文的源IP地址在DGA緩存中不存在,設備執行步驟(4),繼續對域名進行檢測。
(5) 域名檢測。設備將待檢測域名通過內聯以太網接口發送給智能業務平台模塊,智能業務平台模塊接收到待檢測域名後,調用AI引擎對域名進行檢測。完成DGA域名檢測後,智能業務平台模塊將檢測結果返回給設備。
(6) 執行處理動作。如果待檢測域名被判定為非DGA域名,設備放行DNS請求報文;如果待檢測域名被判定為DGA域名,根據DGA緩存中源IP地址的DGA域名訪問次數,設備有如下處理方式:
¡ 如果源IP地址的DGA域名訪問次數達到5次(包含本次),則設備根據配置的處理動作,對DNS請求報文進行阻斷或放行操作,並可生成DGA域名檢測日誌。
對於被阻斷的DNS請求報文,其源IP地址在DGA緩存中的狀態將變為凍結,在剩餘凍結時間內,該IP地址發起的所有域名解析請求都會因匹配該條記錄,而被設備阻斷。
¡ 如果源IP地址的DGA域名訪問次數低於5次(包含本次),則設備放行DNS請求報文。
如果DGA緩存中不存在該IP地址的記錄,設備會為該IP地址創建一條DGA域名訪問次數為1、狀態為非凍結的記錄。
DGA域名檢測日誌用來記錄設備從DNS請求報文中檢測到的DGA域名信息。日誌內容包括DNS請求報文的源/目的IP地址、源/目的端口、源VPN、源/目的安全域、設備對報文執行的處理動作、DGA域名訪問次數以及DGA域名。
一旦待檢測域名被智能業務平台模塊判定為DGA域名,且設備上配置的處理動作中包括生成日誌信息,設備會生成DGA域名檢測日誌:
· 設備將源IP地址相同的DGA域名檢測信息聚合為一條DGA域名檢測日誌進行輸出。DGA域名檢測日誌可以輸出到信息中心,或以快速日誌方式輸出到日誌主機(需開啟快速日誌功能並配置相關輸出參數)。關於信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”;關於快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
· 開啟DGA域名檢測業務的日誌采集功能後,設備產生的DGA域名檢測日誌會被數據分析中心綜合處理,生成僵屍網絡分析報告,展示在設備的Web界麵上。管理員可根據此報告精確定位內網的僵屍主機。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F5000係列 |
F5000-S-G2、F5000-M-G2、F5000-A-G2、F5080、F5030 |
支持 |
|
F5000-AI160、F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-CN160、F5000-CN160-G、F5000-CN-G55、F5000-E-G |
不支持 |
|
|
F1000係列 |
F1000-AK9130 |
不支持 |
|
F1000-AI-90、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-25 |
支持 |
· DGA域名檢測功能僅支持對最長128個字符的標準英文域名(由英文字母、數字、“.”、“-”和“_”字符組成)進行檢測;不支持對其他語言的域名,包括這些域名所對應的國際化域名編碼(即Punycode編碼)進行檢測。
(1) 配置智能業務平台模塊
(2) 配置設備
¡ (可選)配置DGA域名檢測日誌以快速日誌方式輸出
¡ (可選)開啟DGA域名檢測業務日誌采集功能
DGA域名檢測功能需要設備與安裝在其上的智能業務平台模塊配合實現。在智能業務平台模塊上激活DPI各業務模塊配置後,智能業務平台才能接收設備提交的待檢測域名進行DGA域名檢測。
用戶需要將智能業務平台模塊安裝到設備上,並完成初始化配置,具體安裝和配置方法請參見智能業務平台模塊部署手冊。
(1) 進入係統視圖。
system-view
(2) 激活DPI各業務模塊配置。
inspect activate
缺省情況下,DPI各業務模塊配置未被激活。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
智能業務平台的IP地址應為智能業務平台模塊內聯以太網接口的IP地址。
用戶將DGA域名檢測處理動作由放行報文修改為阻斷報文後,對於DGA緩存中DGA域名訪問次數達到5次的源IP地址,其狀態會統一變為凍結。
配置例外域名功能後,當設備從DNS報文中提取到的域名與例外域名匹配時,設備除了不對該報文進行DGA域名檢測業務處理之外,也不會對該報文進行域名信譽業務的處理。有關域名信譽業務的的相關介紹,請參加“DPI深度安全配置指導”中的“域名信譽”。
(1) 進入係統視圖。
system-view
(2) 配置智能業務平台的IP地址。
intelligent-inspect ip ip-address
缺省情況下,未配置智能業務平台的IP地址。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“智能業務平台”。
(3) (可選)配置例外域名。
inspect domain-name exception domain-name
缺省情況下,未配置例外域名。
(4) 進入DGA域名檢測視圖。
dga
(5) 配置DGA域名檢測處理動作。
action { permit | drop } [ logging ]
缺省情況下,DGA域名檢測處理動作為放行報文。
(6) 開啟DGA域名檢測功能。
service enable
缺省情況下,DGA域名檢測功能處於關閉狀態。
缺省情況下,設備生成的DGA域名檢測日誌會被輸出到信息中心進行處理。配置本功能後,設備生成的DGA域名檢測日誌將僅通過快速輸出通道輸出,不通過信息中心輸出。
(1) 進入係統視圖。
system-view
(2) 開啟快速日誌輸出功能。
customlog format dpi dga
缺省情況下,快速日誌輸出功能處於關閉狀態。
關於該命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。
(3) 配置快速日誌輸出參數。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export dpi dga
缺省情況下,未配置快速日誌輸出參數。
關於該命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“快速日誌輸出”。
開啟本功能後,設備產生的DGA域名檢測日誌會被數據分析中心綜合處理,生成僵屍網絡分析報告,展示在設備的Web界麵上。
(1) 進入係統視圖。
system-view
(2) 開啟DGA域名檢測業務日誌采集功能。
dac log-collect service dpi dga enable
缺省情況下,未開啟DGA域名檢測業務日誌采集功能。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“數據分析中心”。
在完成上述配置後,在任意視圖下執行display命令可以顯示DGA域名檢測功能的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 DGA域名檢測的顯示和維護
|
操作 |
命令 |
|
顯示例外域名 |
display inspect domain-name exception |
企業網管理員為了及時檢測到內網主機的異常外連行為,需要在企業安全網關Device上配置DGA域名檢測功能,對網絡中的DNS請求報文進行DGA域名檢測,並將疑似僵屍主機的IP地址進行凍結,阻斷該IP地址發起的所有DNS請求報文。此外,安全網關還應生成DGA域名檢測日誌,供數據分析中心模塊綜合分析,精確定位內網可能存在的僵屍主機。
圖1-3 DGA域名檢測配置組網圖
將智能業務平台模塊安裝到Device上,並完成初始化配置,具體安裝和配置方法請參見智能業務平台模塊部署手冊。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Module> system-view
[Module] interface gigabitethernet 1/0/1
[Module-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[Module-GigabitEthernet1/0/1] quit
(2) 激活DPI各業務模塊配置
[Module] inspect activate
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name Trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name Untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置安全策略保證網絡互通
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-0-trust-untrust] action pass
[Device-security-policy-ip-0-trust-untrust] source-zone Trust
[Device-security-policy-ip-0-trust-untrust] destination-zone Untrust
[Device-security-policy-ip-0-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-trust-untrust] quit
[Device-security-policy-ip] quit
(4) 配置NAT源地址轉換
# 配置ACL 2000,允許對內網192.168.1.0/24網段的報文進行地址轉換。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向動態地址轉換,使得內網主機訪問Internet的報文可以使用接口GigabitEthernet1/0/2的IP地址進行源地址轉換。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000
[Device-GigabitEthernet1/0/2] quit
(5) 配置DGA域名檢測功能
# 配置智能業務平台的IP地址。
[Device] intelligent-inspect ip 1.1.1.1
# 配置DGA域名檢測。
[Device] dga
[Device-dga] action drop logging
[Device-dga] service enable
[Device-dga] quit
# 開啟DGA域名檢測業務日誌采集功能。
[Device] dac log-collect service dpi dga enable
(1) 在Device上執行display intelligent-inspect status命令顯示智能業務平台的連接狀態為Connected。
[Device] display intelligent-inspect status
State: Connected.
(2) 內網出現針對DGA域名的解析請求後,Device會將疑似僵屍主機的IP地址進行凍結,在30分鍾內阻斷該IP地址發起的所有DNS請求報文,並生成前綴為DGA/4/DGA_IPV4_INTERZONE的DGA域名檢測日誌。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
