检测恶意域/URL

Question

最先进的商业URL威胁情报源(例如赛门铁克、英特尔安全等)会错过恶意域名吗？(即提供恶意软件的域、利用代码和钓鱼域-以使讨论更加具体。)如果是，为什么？在解决这个问题时，人们面临的技术挑战是什么？我知道人们使用很多方法来进行检测，包括机器学习、用蜜罐捕获数据等在幕后生成这样的提要。我想特别了解哪些技术障碍限制了这些方法的有效性，以及为什么它们错过了它们错过的东西。

Answer 1

域名很便宜。攻击者很乐意在单个战役中注册要使用的域。在此后的某个时间点，域名将被声誉服务标记为红色，但到那时攻击者已转移到下一个域名。

Answer 2

试图检测恶意URL是一个困难的，在许多方面不可能获胜的游戏，就像尝试检测可执行文件中的恶意软件一样。如果您试图保护您的网络免受恶意URL，有可用的威胁源，这是有用的，正如其他人所说的，域名是便宜和容易丢弃。

防止恶意URL的最强有力的方法是使用DNS白名单，它在头上翻转过滤。而不是试图发现坏的，你只是白名单，你知道你想让用户有访问。这并不能阻止一切，因为有时合法的域名会被黑客入侵并被用来传播恶意软件，但这比从安全角度看黑名单更好。

从可用性的角度来看，白名单在早期阶段是有问题的，因为你会对需要添加多少个站点来进行基本的web浏览感到震惊。