Перейти к основному содержимому

ML проверки

DNS RADAR использует модели машинного обучения (ML) для проактивного обнаружения сложных и замаскированных угроз, которые могут остаться незамеченными при использовании только статических правил и фидов

Поддерживаются два ключевых типа ML-проверок:

  • Обнаружение DGA доменов: Алгоритмы генерации доменных имён используются вредоносным ПО для создания большого количества случайных доменных имён (например, moqbwfijgtxi.info, nraepfprcpnu.com), чтобы скрыть адрес командного сервера. Система анализирует лингвистические и структурные аномалии в доменных именах для выявления подобной активности
  • Обнаружение DNS Tunneling: Эта техника позволяет злоумышленникам инкапсулировать сторонний трафик (например, для удаленного управления или утечки данных) внутри легитимных DNS-запросов и ответов. ML-модель анализирует поведенческие паттерны трафика (частоту запросов, объем данных, энтропию поддоменов) для выявления скрытых туннелей

Настройка ML-проверок

Чтобы активировать ML-проверки для компании, выполните следующие действия:

  1. В интерфейсе панели управления перейдите в раздел «Компания» 1 на вкладку «Правила» 2
  2. Внутри раздела выберите вкладку «ML проверки» 3

Настройка режима для ML-проверок

  1. На экране отобразится таблица с доступными ML-проверками
  2. При помощи выпадающего списка 4 для каждой проверки можно задать индивидуальный режим работы 5

Режимы работы ML-проверок

БлокировтьБлокироватьЗапрос будет прерван, пользователь получит уведомление о блокировке. Значение вероятности срабатывания ML-модели можно изменить на индивидуальное в интерфейсе
ПредупреждатьПредупреждатьЗапрос будет пропущен, в Журнале событий будет зафиксировано событие. Значение вероятности срабатывания ML-модели можно изменить на индивидуальное в интерфейсе
Предупреждение + БлокировкаПредупреждение + БлокировкаЗаданы два пороговых значения вероятности для ML-модели – для предупреждения и для блокировки запроса
Не проверятьНе проверятьСистема не будет проводить данные ML-проверки

Режим Предупреждение + Блокировка

При выборе режима Предупреждение + Блокировка на экране отобразится полоса прокрутки, позволяющая задать два значения вероятности срабатывания ML-модели:

  1. «Предупреждать» 1 (на примере ниже предупреждение происходит при значении вероятности от 35 до 90%)
  2. «Блокировать» 2 (на примере ниже запрос блокируется при значении вероятности больше 90%)

Настройка режима для ML-проверок