机器vs Machine：与威胁搜索主管DarktraceMax Heinemeyer进行即时域fluishing身份识别（2018年2月2日星期五），Conficker在近十年前成名的算法正在继续挫败安全社区。域生成算法（DGA）是一些高级恶意软件的一种功能，它可以快速生成新的域，作为逃避安全人员的手段。此过程称为"域融合"，它提供了与攻击者的命令和控制服务器进行通信的另一种方法。使用传统的安全方法很难检测到它们。Darktrace的人工智能和机器学习旨在检测威胁，而无需预先知道攻击者的目标、工具或能力。传统的安全工具依赖于特定的妥协指标来识别恶意活动，而Darktrace则专注于可能指向主动妥协的行为变化。域生成算法的检测只是Darktrace通过识别行为异常来确定攻击者C2通信的能力的一个例子。DGA标识在用Darktrace最近看到一家医疗保健公司的员工将个人笔记本电脑连接到公司网络。公司的另一位成员要求该员工帮忙排除笔记本电脑的故障。在员工不知情的情况下，尽管安装了防病毒软件，笔记本电脑还是被未知的恶意软件破坏了。加入网络后，这台受损的笔记本电脑对Darktrace归类为100%罕见的域名进行DNS查询。这些域似乎是动态生成的，因为它们的长度都在25到30个字符之间，并且使用多个顶级域。由于异常域的失败DNS请求突然增加，Darktrace立即触发高分域刷新警报。在设备加入网络后30分钟内触发了其他域刷新警报。允许这种高度可疑的活动持续一段时间的唯一原因是安全管理员正在吃午饭。显示DGA域的失败DNS请求的Darktrace网络日志示例。事件日志显示在设备加入网络后14秒内的域刷新标识。快速遏制安全管理员在返回时得知情况，并立即与Darktrace进行了事故分类。管理员能够使用Darktrace的本机过滤器快速评估设备的连接历史，这些过滤器设计用于检测扫描、横向移动、C2通信和出口。随后，他确定了受损笔记本电脑的位置，禁用了其互联网接入，并从网络上实际移除了该设备。从初始连接到识别、控制和移除受损的恶意设备的总时间约为67分钟。管理员给Darktrace分析团队留下了以下评论：Darktrace Threat Visualizer显示了由于对可疑动态生成的域的大量失败DNS请求而导致的多个域流模型违规。结束语Darktrace的人工智能方法专注于识别行为演化模式中的异常现象。虽然这台笔记本电脑是网络中的新产品，但没有看到其他设备为类似的DGA域发出大量失败的DNS请求。Darktrace立即将此活动识别为异常，并在设备加入网络后14秒内发出警报。通过使用Darktrace，一个分析员能够在一个多小时内发现并评估一个在网络环境中运行的恶意设备。更重要的是，有了Antigena（暗黑种族的自主响应解决方案），所有可疑的行为都会被实时地暂时中止。或者，管理员可以通过Darktrace移动应用程序手动授权Antigena的提议行动。没有对分布式日志文件、pcap或其他安全工具进行广泛的分析。事先不知道攻击者的基础设施或恶意软件。Darktrace AI在没有帮助的情况下识别了正在动态生成的DGA域。这是我们的安全技术必须达到的水平，如果我们要保持在现代攻击者的所有新技术之上工具箱最大值HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件