2021（第九届）电力企业信息安全研讨会 -538- 基于 DNS 流量分析的恶意终端治理研究 国网安徽电力有限公司信息通信分公司，盛剑桥、李明、方圆、张亮、丁鑫、许静萱 摘 要：随着公司面向数字新基建和数字工作要求的不断提升，办公终端、移动终端等设备逐年增加，各类终端带 来的安全风险也急需开展防范。本文结合公司现状，通过归集全省 DNS 服务器，自主研发恶意域名分析系统，通过整合 各大安全厂商、安徽公司本地安全设备恶意域名信息，建立动态恶意域名库，常态抓取 DNS 流量进行恶意域名辅助人工 深度分析，结合防病毒系统和桌面管控系统开展恶意终端的闭环整治，在节约公司人力物力成本的同时，提高安全管理 的工作效率。 关键词：DNS 归集；恶意域名；闭环整治；安全管理 安徽公司网络安全分析室自建立以来一直承担 全省信息安全监控、分析、处置等工作，随着工作 要求的不断提升，需加强对全省终端的深度监控和 分析，持续提升内外网终端的安全防护能力。办公 终端感染病毒、木马、灰色软件后会成为恶意终端， 恶意终端具有安全隐患，可能传播病毒感染域内其 他办公终端，同时会请求大量恶意域名。安徽公司 开展基于 DNS 流量分析的恶意终端治理研究，成立 专项工作小组，开展以下工作：一是开展全省 DNS 服务器归集工作，搭建省级 DNS 中心群集节点，依 托于桌面管控系统批量下发脚本， 将 16 家地市公司、 3 家直属单位近 10 万余台内网终端的 DNS 统一归集 至省公司 DNS 中心节点，为恶意终端治理夯实基础； 二是自主研发恶意域名分析系统，通过整合各大安 全厂商、安徽公司本地安全设备恶意域名信息，建 立动态恶意域名库，抓取 DNS 流量进行恶意域名辅 助人工深度分析，进行大屏展示和区域分类，实现 7*24 小时不间断监控；三是落实恶意域名终端整治 闭环管理，依托于恶意域名分析系统，实时监控各 类办公终端的恶意行为，与各地市直属单位上下联 动机制，发现异常后由信息调度第一时间通知相关 单位排查整改，反馈处置情况，实现闭环管理，恶 意终端数量减少了 95%，有效增强公司安全防护水 平；四是践行国网公司瘦身健体、体质增效要求， 通过本次专项治理工作将市公司、直属单位的 DNS 服务器全部下线，节约电费的同时也减少的人工维 护成本，与此同时借助自主研发的监控系统减轻了 安全运维人员的工作负担，工作效率明显提升。 由于安徽各地市公司和直属单位 DNS 服务器部 署过于分散、存在单点故障，缺乏必要的安全监控， 造成资源浪费，给基层人员带来运维负担。为提高 资源利用率和安全运行水平、节省运营成本，需要 实现集约化管理。 随着公司办公终端的不断增加，2019 年安徽公 司监测到较多 IP 地址持续访问恶意域名，单个 IP 地址月均访问不同恶意域名最高达 400 次，经分析 这类 IP 地址多为地市公司和直属单位的 DNS 服务器 地址。办公终端感染病毒、木马、灰色软件后会向 外请求恶意域名，市公司和直属单位的 DNS 解析不 了恶意域名会请求省公司的 DNS，从而监测到的 IP 地址大都为市公司和直属单位的 DNS 地址。恶意主 机具有安全隐患，且大量的恶意域名转发可能影响 DNS 服务器的稳定性。 安徽公针对恶意终端的分析处置缺乏高效的跟