【天眼】【安全DNS防御系统】心跳域名和可疑动态域名

张磊轩发表于:2020年11月17日 15:47:06

1. 单位时间内客户端每隔一个固定时间区间访问同一域名,即可产生心跳连接,该域名就是心跳域名。

2. 客户端访问的域名在告警动态域名库中,且在单位时间内客户端每隔一个固定时间区间访问同一域名,即可产生可疑动态域名,该域名就是可疑动态域名。

3.区别:心跳域名可以不是C&C控制端,可疑动态域名一定是C&C控制端。

   联系:可疑动态域名一定是心跳域名,但是心跳域名不一定为可疑可疑动态域名