眾所周知，當今的惡意攻擊大多受利益驅動，劫持合法網絡資源發動攻擊。其中一個重要途徑，就是利用域名服務（DNS）將網絡用戶導引到惡意網站并將他們納入攻擊行動的節點。

　　DNS對黑客的意義有三：

1. 傳輸命令與控制指令

2. 偷渡數據

3. 重定向流量

但由于極少有公司會出于安全目的監測DNS狀態，DNS如今已成為攻擊者理想的攻擊手段。

在DNS層實施安全防御，可以有效檢測和控制此類惡意軟件感染。在惡意連接建立之前將威脅扼殺在搖籃里是做好安全的第一要務。要做到這一點，就必須監控網絡，跟蹤員工及其使用設備的網絡位置和接入方式。

惡意IP跟蹤，以及惡意基礎設施連接阻斷技術，可以挫敗攻擊者利用這一常見安全盲點的企圖。危險連接阻斷得越多，我們需要應對的內部網絡威脅就越少。而且，即使網絡被成功突破，DNS監測也可以幫助連接各個節點，確定攻擊所用基礎設施的類型和源頭，深化調查取證。

以Angler漏洞利用工具包為例，DNS監測技術就在調查中提供了對所用IP基礎設施更好的可見性。Angler操作者以線性跳轉方式不停轉換IP地址，隱藏他們的威脅行為，防止外界對他們的不法撈錢行為進行干預。但通過對與其關聯的域名行為進行監測分析，我們對他們所用的技術有了更深入的了解，也就知曉了如何阻止他們。

隨著攻擊者不斷創新攻擊技戰術，比如結合直連命令與控制來繞過域名解析等，防御者也在發展自己的新技術來更快地識別和響應這些攻擊。

基于IP的預測性威脅情報便是防御新技術的一種。這種技術應用算法分析流量模式，關注并檢測惡意活動，而不是對內容進行掃描。這種基于數據科學的新技術與Pandora的音樂服務所用的技術如出一轍。但與使用當前在聽的聲波模式來推斷你可能喜歡的其他音樂不同，這種新技術采用網絡流量模式來識別惡意攻擊。

有些域名一直保持很大的入站流量，其他域名可能在某幾個特定時段會出現流量高峰，又或者，還有其他完全不同的模式。但被用來實施攻擊的域名，一般情況下流量模式都是瞬發性的，流量出現時間更短，也更快。畢竟，作為見不得光的行為，還得保持低調隱蔽。若能發現并將這些狀態模式與其他數據進行交叉對比，則有助于快速檢測出正在進行中的攻擊行為并采取行動予以遏制。

而預測攻擊的能力則又將此數據分析拉升到了更高的層級。從分析流量模式得出的線索開始，網絡罪犯在劫持基礎設施過程中所用到的每一步，都在攻擊預測中有用到。比如：托管主機提供商的選擇、服務器鏡像的部署等等。對托管基礎設施更深更全面的分析將使你擁有預測并防止突發威脅的能力。

因為網絡罪犯利用互聯網發動攻擊，我們便需要對DNS基礎設施和IP網絡上正在發生的事擁有更清晰的視野。這就要求安全團隊和DNS專家采用合適的技術通力合作。無論如何，連接更多的節點并不斷修正威脅情報是能夠更快識別并阻止網絡攻擊的。

攻擊者總在持續地改進攻擊方法，因此我們也需要不斷提高數據分析技術，以在攻擊發生之前將其鎖定。