360域名检测网站域名检测


在年的RSA大会“如何利用威胁情报打击网络犯罪和网络诈骗”议题中,两位演讲者介绍了如何利用威胁情报相关知识应对日益猖獗的网络犯罪,尤其是以获取经济利益为目的的网络诈骗犯罪活动。

网络犯罪呈现手段多样化、技术专业化、分工精细化、目的明确化等特点。其发展初期主要以色情赌博为主,web时代出现了流量劫持、钓鱼网站等、移动时代出现了欺诈短信、伪基站、恶意软件等。当前网络活动平台已扩展电脑、移动端、手机通话、短信、物联网等媒介,网络应用也是呈现爆发式增长,例如网络购物、投资理财、网络交友、生活缴费、政务民生活动,网络犯罪分子也基于网络媒介、业务场景、舆论热点制造机会,随之出现了杀猪盘、杀鸟盘、杀鱼盘、社工冒充、跑分平台、网络传销、网络刷单、投资理财等新兴网络诈骗活动和违法犯罪上下游精细化分工平台等。

据不完整统计,网络黑色产业链中,年仅网络诈骗的“黑色产业”市场规模已高达亿元。网络犯罪行为已经从简单单一的网络入侵活动转变为多元化类型发展的态势。

基于网络诈骗的特点,对域名相关情报(DNSintelligence)的分析可以有效与之对抗。

着重域名信息和信誉、与此相关的威胁情报以及和具体域名有关的文本信息和网络行为三方面。具体的分析可以分为三步:域名识别、丰富域名信息、分析域名内容和网络行为,之后就可以从以上三个方面列出每个需要检测的域名的风险,并量化打分以便预防。

·数据采集:主要是在重要事件发生后收集和关键词有关的新出现的域名信息,从其中初步筛选出可疑域名;

·域名匹配:主要是对可疑域名进行进一步筛选,可以通过自动和人工手段检查相关域名指向网页的具体内容,看是否包含网络诈骗相关信息;

·域名检测:利用各类安防手段检测域名是否和已知的病毒和恶意软件相关联,这是确认此事是否可移交美国境内执法部门处理的关键步骤之
一,另一个步骤是确认域名相关托管平台是否在美国境内;

·数据内容丰富:已经确定可疑域名有进一步的恶意行为后,可以通过各类开源、商业情报,进一步对其恶意行为,相关信息进行分析(查询各大安全厂商报告、各类黑名单等),将已知情报和域名关联;

·移交线下执法部门处理:有了上一步的切实证据以后,就可以联系其他机构,在线下对网络诈骗采取行动,如将相关网站下线或更严厉的行动。

黑灰产类型众多,其中常见高发的涉诈类型包括:投资、贷款、刷单、黄、假冒熟人、仿冒公检法、杀猪盘等。360在涉诈大分类的基础上基于场景细分出更多的场景,其中黑灰产恶意类型包括15大类、200余小类,涉诈细分类型包括40余类,例如:投资理财、借贷欺诈、购物退款、网游交易、机票退改、裸聊交友、仿冒金融证券、仿冒银行、虚假招聘、虚假中奖、仿冒公检法等。360黑灰产数据分析范围覆盖域名、网址和APP程序、APP下载链接等,可以有效应对各类风险。

·外部数据源:数据输入是整个平台的入口,数据的输入与输出对应,一条网址经过爬虫系统爬取、检测后,输出一条分类结果数据;

·数据接入/预处理:不同渠道的数据格式不尽相同,为了便于爬虫与分类系统处理方便,需要对输入数据做预处理,比如统一格式、过滤消重;

·内容爬取:网页爬虫对目标域名或站点进行定向爬取,恶意站点通常对爬虫做针对性防护,不让爬虫爬取到正确的内容。因此爬虫要伪装成普通用户访问,绕过防爬机制;

·APK数据输入:基于应用市场URL下载链接、网页主动爬取、其它渠道采集的APK文件和下载链接对APK应用程序的网址和样本进行采集、文件收集;

·APK文件分析:对采集的APK样本文件通过资源分析、反编译、沙箱模拟运行等手段提取静态信息、分析动态行为;

·APK分析检测:基于规则识别系统对提取的APK动静态信息进行分类分析,识别并定义APK文件的安全威胁等级和类型,然后同步到数据系统或被业务应用系统调用。

·黑灰产预警和拦截处置配合运行商、监管单位推送涉诈威胁情报数据,基于流量分析平台,发现恶意网络行为提供全网预警和拦截、关停处置。

未来,360将持续利用安全情报能力助力广大政企客户打击网络犯罪和网络诈骗,筑牢数字安全屏障,护航数字经济平稳健康发展。