网络安全领域的新发现：恶意域名数量激增

关键要点

• Akamai 的研究显示，2022年上半年标记了近7900万个恶意域名，平均每月约1300万个。
• 恶意域名占所有新观察域名（NOD）的20.1%。
• Akamai 的 NOD 检测系统能够在分钟内自动识别恶意域名。
• 随着恶意域名的激增，建立多层次的防御机制显得尤为重要。

Akamai研究人员在周三报告，根据最新观察到的域名（NOD）数据集，他们在2022年上半年标记了近7900万个恶意域名。研究人员表示，这大约等同于每月可疑的1300万个恶意域名，代表了所有成功解析的
NOD 的20.1%。

在一篇中，Akamai的研究人员解释说，每次一个域名在最后60天内首次被查询时，他们就将其视为 NOD。NOD 数据集使研究人员能够关注 DNS查询的“长尾”部分，在此数据集内可以找到新注册的域名、拼写错误的域名，以及全球范围内仅极少数被查询的域名。

通过 NOD 数据，Akamai 能够在威胁生命周期的早期就对新域名进行分类。所有基于 NOD 的检测系统和规则都是完全自动化的。研究人员表示，一旦一个新的
NOD 被识别，Akamai 将其归类为恶意所需的时间以分钟计——而不是小时或天。在这一过程中不存在人工干预，这使得 Akamai 能够快速缓解新的。

“为了将这些数字放入上下文，每个月我们拦截1300万个被创建为恶意目的的域名，这些域名能够解析或指向某个地方，”Akamai 的高级数据科学家 StijnTilborghs说道。“根据我们看到的数据，以及我们当前的启发式检测系统，这相当于每五个新域名中就有一个是出于恶意目的创建的。从防御的角度来看，Akamai能够标记这些域名为恶意，正是因为这一基于 NOD 的检测系统。这允许运营商和ISP封锁这些域名。”

Deep Instinct 的网络情报工程经理 Matthew Fulmer 表示，这些数据表明过去几年中一个呈指数级增长的趋势：域名的创建意在传播或用于恶
意活动。Fulmer指出，这些活动通常作为一种代码的一部分，指示机器从哪里获取恶意负载，可能被发展为钓鱼网站，意图偷取凭证，甚至充当命令与控制信标的联系点。

“这些数字非常重要，因为涉及的域名是随机的数字字母组合，几乎可以看作是‘一次性’域名，”Fulmer说。“它们是出于恶意活动的意图而创建的，一旦被劫持或被标为恶意，威胁参与者可以直接抛弃他们，然后转向新的域名。仅此一点，您需要确保为您的防御层级采取充分措施，特别是在误报率仅为0.00042%（7900万个中的329个网站）。”

AppViewX 的首席解决方案官 Muralidharan Palanisamy 透露，Akamai 的检测基于 NOD，这基本上是互联网上出现的新
DNS 域名。Palanisamy 表示，已有的域名具有一些历史和声誉，因此识别它们是否安全所需的努力很少。然而，他指出，确定新域名是否恶意是一个挑战。

“Akamai 基于 NOD 的自动检测是一个新颖的方法，它在连接建立之前就处理和缓解了 DNS 层的威胁，”Palanisamy说。“因为安全是多维的，我们必须依靠防范手段来识别恶意行为者。另一个相关的方法是谷歌的证书透明度计划，它能够识别和处理被侵害的证书、域名和证书机构。然而，由于监管机构被攻击者渗透且国家行为者设立自己的监管