领域风险评分概述
预测一个域名是恶意的可能性有多大
互联网上充斥着恶意的基础设施,由威胁行动者操作,他们使用域名传播恶意软件,引诱受害者到钓鱼网站,用垃圾邮件淹没收件箱。与此同时,安全团队面临着大量的警报和事件,往往没有上下文来告诉他们哪些是严重的威胁。安全分析师和威胁搜索者需要一种快速、可靠的方法来知道在其环境中观察到的哪些域构成了最大的威胁。使挑战更加复杂的是,在已知恶意域名的行业列表赶上并“定罪”这些域名之前,威胁行为者经常注册并使用新域名进行破坏。
DomainTools的域风险评分使用预测算法在危险域注册后不久标记它们,帮助安全团队在危险域武器化之前屏蔽它们,或有效地从安全系统中筛选基于域的警报。
机器学习和预测洞察力
两种截然不同且互补的算法支持领域风险评分。“已知恶意接近度”评估一个域与其他已识别为恶意的域的紧密程度。威胁配置文件使用机器学习分类器分析域的内在属性,识别与恶意软件、网络钓鱼、垃圾邮件或中立域一致的模式。结果是一个可靠的预测,即一个域是否可能是恶意的,如果是,它代表什么样的风险。
在DomainTools Iris中使用风险评分来评估作为调查的一部分浮出的域。或者使用Risk Score API对环境中的可疑域进行自动警报或阻塞。作为与SIEM(威胁情报平台或编制工具)集成的一部分,领域风险评分帮助分析人员对警报进行优先级排序,专注于最可能损害组织的威胁。
