NLPRank обнаруживает фишинговые атаки с помощью анализа лингвистических паттернов в DNS-траффике

Разработчики из OpenDNS создали новый алгоритм под названием NLPRank, который способен обнаруживать фишинговые кампании и опасные APT-атаки с помощью анализа лингвистических паттернов в DNS-трафике. Об этом сообщает ИБ-эксперт Джеремайя О’Коннор (Jeremiah O’Connor) в своем блоге.

Использование подобных алгоритмов в сфере информационной безопасности является инновационной методикой. Ранее их эксплуатировали в биоинформатике и для интеллектуального анализа данных.

NLPRank использует совокупность исследовательских методов для обнаружения вредоносного ПО. Инструмент с помощью алгоритма минимального дистанционного расстояния, который используется при проверке орфографии, вычисляет поддельные доменные имена, близкие по написанию с адресами популярных сайтов.  

Кроме буквенной близости, NLPRank анализирует уникальные номера ASN, данные WHOIS, даты регистрации домена и одинаковые фрагменты HTML-кода на страницах разных доменов.

По словам ИБ-специалиста, подобная кампания с использованием алгоритма NLPRank поможет эффективно автоматически выявлять фишинговые домены и предотвращать планируемые вредоносные атаки.