用户指南

域活动表

概述

DomainTools的活动、高风险域的优先级列表,Domain Hotlist提供了预测洞察,组织可以使用它主动识别威胁和保护他们的网络。

在威胁找到你之前找到它

通过在市场上的威胁有机会对您的网络造成严重破坏之前识别它们,将您的防御提升到下一个级别。Domain Hotlist提供预测洞察,在实际攻击中识别出高风险域之前识别出它们。通过建立在业界最全面的DNS和基础设施数据存储库中近20年历史数据的机器学习的支持,Domain Hotlist利用DomainTools风险评分来预测和识别可能注册有恶意意图的域。通过将预测风险评估与pDNS活动的观察相结合,Domain Hotlist显示出最相关、风险最高的领域,使组织能够主动识别、确定优先级、阻止和处理潜在威胁。


域热列表组件:pDNS流量,历史数据,预测分析,邻近性。



域活动表描述

域名热列表是一个域名列表,按排名顺序出现,最关注的域名在顶部。对于每个域,域热列表显示域名和域风险评分组件得分(钓鱼、恶意软件、垃圾邮件和邻近性),根据对pDNS流量的观察被识别为“活动的”。该列表每天生成,每天提供活动域的最新得分。

领域风险评分组件

域热列表的风险评估组件由域风险评分启用。根据目前超过3.3亿个互联网域名的数据点,域名风险评分预测了一个域名被恶意攻击的可能性,通常是在它被武武化之前。评分来自两个不同的算法:接近度和威胁概况。

  1. 邻近性通过分析一个域与其他已知的坏域的紧密联系来评估该域可能是攻击活动的一部分的可能性。
  2. 威胁配置文件利用机器学习来建模该域的内在属性与用于垃圾邮件、网络钓鱼或恶意软件的其他域的内在属性有多相似。
通过将预测风险评估与pDNS活动的观察相结合,Domain Hotlist显示出最相关、风险最高的领域,使组织能够主动识别、确定优先级、阻止和处理潜在威胁。

域活动表内容

综上所述,Domain Hotlist将符合以下要求:

  • 域名热门列表将每天发布一次
  • Hotlist将包含
    • 1天前与pDNS活动相关
    • 威胁分析得分在90分以上
    • 或者接近度得分在70分以上
  • 列表中的域名将根据评分算法进行排序,恶意潜力最高的域名将排在首位
    • 排名是基于所有已知风险分数和领域年龄的加权总和
      • 每个风险评分组成部分的权重是不同的,网络钓鱼和恶意软件的权重最大,因为它们往往给网站访问者带来最大的风险,其次是接近性,然后是垃圾邮件
      • 域名的年龄也被用作一个因素,年轻的域名被给予较高的排名
  • “零列表”域名将永远不会出现在域名热列表中
  • 根据每天符合标准的域名,列表的大小是可变的
    • 大小无法保证或限制。目前的预期是该列表在500k到1M条目之间。它已经小到380k条目,大到1.1M条目
    • 域名将每天恢复,并根据列表的过滤参数和排名放置在列表中
  • 域可能不会被所有算法评分;如果没有为特定算法生成评分,则会列出“\N”

域热列表将在一个标签分隔的CSV文件中可用,包含以下信息,按以下顺序显示:

网络钓鱼的分数 恶意软件的分数 垃圾分 接近得分
example.com 99 63 90 57

文件记录

  • 每行列出一个域名,以及个人钓鱼、恶意软件和垃圾邮件评分
    • 钓鱼、恶意软件或垃圾邮件评分为90+或接近度评分为70+
    • 一个缺失的分数将有' \N ';域保证至少有一个分数满足包含标准
    • 所有的分数都在0到99之间
  • 文件的格式如下:
    • Domain_name phish_score malware_score spam_score proximity_score . Domain_name phish_score malware_score
    • >是一个基于unix的换行符(" LF ",也就是" \n ")
    • 上面的表格是:example.com 99 63 09 57
    • 国际域名和顶级域名是用小码编码的,例如:“慕尼黑。“xn—mnich-kva[.]com”将被列为“xn—mnich-kva[.]com”。
    • 文件中不包含列标题

域热列表文件获取

域热列表可每日下载,直接从一个由DomainTools管理的传输框,作为gzip压缩,标签分离的CSV。

要访问域热列表文件,您需要向DomainTools提供以下信息:

  • 客户电子邮件地址
  • 一个或多个客户拥有的IP地址,所有拉取请求都将从该IP地址发出
  • 由请求客户生成并拥有的SSH公钥。建议使用2048位及以上的RSA密钥。

连接到传输箱是通过SFTP使用SSH和您的密钥完成的。DomainTools将添加一个配置,以允许访问我们的传输盒使用提供的用户名和SSH密钥从给定的IP地址。


Domain Hotlist文件每天都处理,请求应该在PDT下午4:00之后发出,每天一次。