Skip to main content
Resources

常见问题解答:ICANN 域名滥用活动报告 (Domain Abuse Activity Reporting, DAAR) 项目

本页面还提供其他语种:

国家和地区顶级域 (Country Code Top Level Domains, ccTLD) 如何加入 DAAR 项目?

有兴趣参加 DAAR 项目的国家和地区顶级域 (ccTLD) 可以详细了解以下流程:

  1. 有兴趣的 ccTLD 可以通过发送电子邮件至 globalsupport@icann.org 提出请求。
  2. 然后,全球支持团队将通过向 ccTLD 的技术联系人和管理联系人发送一组电子邮件来启动相应流程,以确认请求。电子邮件地址来自 ccTLD 向互联网号码分配机构 (Internet Assigned Numbers Authority, IANA) 注册时提供的联系信息。

    • 请求得到所有相关方确认后,ICANN 将启动相应流程以接收域文件。此流程包括技术安排,例如提供公钥和设置 DNS 区异步完整传输 (AXFR) 过程。
  3. ICANN 员工将帮助 ccTLD 获取对 ICANN 监督系统应用程序编程接口 (MoSAPI) 的访问权限。
  4. 设置域文件传输过程后,将与负责维护 DAAR 系统的承包商 iThreat Cyber Group 共享。iThreat Cyber Group 会将 ccTLD 区域添加到现有的 DAAR 输入的其余部分中。
  5. 在完全载入 ccTLD 并获得对 ICANN 监督系统应用程序编程接口 (MoSAPI) 的访问权限后,ccTLD 将收到来自 DAAR 系统的两个数据集:

    • 根据其安全威胁类型,ccTLD 将每天通过 MoSAPI 系统收到 DAAR 根区域名计数和安全威胁评分。
    • ccTLD 还将收到个性化的月度报告,这些报告是在 DAAR 月度报告的基础上略有更新,只是这些报告还会在图表中突出显示 ccTLD,并包含与 ccTLD 直接相关的统计数据。这些报告仅与单个 ccTLD 共享,不会公开发布。
  6. 注:

  • ccTLD 可以与 ICANN 签署《谅解备忘录 (Memorandum of Understanding, MoU)》。如果他们希望签署 MoU,可以在发送给全球支持团队的首封电子邮件中提及此事宜。
  • ccTLD 域文件将仅与 DAAR 承包商 iThreat Cyber Group 共享,并且仅用于 DAAR 目的。因此,任何其他实体(gTLD 或 ccTLD)都将无法看到安全威胁统计数据。
  • 要获取更多帮助,请随时通过 samaneh.tajali@icann.org 联系 DAAR 项目负责人莎曼内·塔嘉利扎德胡 (Samaneh Tajalizadehkhoob) 博士。

什么是域名滥用活动报告 (DAAR) 项目?

DAAR 是一个用于研究各顶级域 (top-level domain, TLD) 注册管理机构和注册服务机构内的域名注册和安全威胁(滥用)行为的平台。DAAR 系统主要由两部分构成:

  • 收集系统 - 收集能获取其数据的每个 TLD 的域文件、汇总来自独立安全威胁报告来源的域名滥用数据,并将安全威胁活动与单个 TLD 相关联。
  • 图形用户界面 (Graphical user interface,GUI) 管理系统 - 以图表的形式直观呈现域名注册和滥用活动,包括显示历史数据。该 GUI 允许 ICANN 管理人员研究安全威胁活动,并导出数据以生成报告。

这两个系统共同提供了域名注册服务一天或一段时间的视图,包括已注册域名的滥用情况。

ICANN 组织为什么要开发 DAAR?

虽然关于域名滥用活动的研究在当前相当常见,但是当前的研究往往存在局限:

  • 对所有通用顶级域 (generic Top-Level Domain, gTLD) 在一段时间内的滥用情况研究较少。
  • 大部分研究只关注特定类型的安全威胁,而不评估多种安全威胁。
  • 或许最重要的是,这些研究中使用的确切方法和数据来源通常不会向公众或注册管理机构披露,因此导致研究成果无法再现。

在社群提出多次非正式请求后,ICANN 首席技术官办公室 (Office of the CTO, OCTO) 最终得出结论:如果可以提供一组中立、公正、持久和可重复的方法来对匿名化数据进行分析,ICANN 社群将从中受益。为此,OCTO 的安全、稳定与弹性 (Security, Stability and Resiliency, SSR) 小组启动了一个研究项目,旨在开发出一个系统来收集大量域名数据,并使用大量高度可信的信誉数据源进行补充。

DAAR 的目的是什么?

DAAR 的主要目的是向 ICANN 社群报告安全威胁活动,以便社群可以利用这些数据做出明智的决策。在这一广泛框架下,涵盖了 DAAR 的多个具体目标:

  • 根据长期以来的已知威胁信誉数据集跟踪 TLD 的安全威胁信誉。
  • 通过公开 DAAR 方法,助力开展反域名滥用工作。
  • 允许注册管理机构确定并报告存在的安全威胁或者安全威胁的普遍性。
  • 帮助注册管理机构或注册服务机构识别导致异常注册活动的原因。
  • 支持 ICANN 社群开展旨在提升消费者信心和信任的活动。

DAAR 观察到哪些类型的安全威胁?

DAAR 可识别并跟踪所报告的涉及以下四种安全威胁的域名:

  • 网络钓鱼。支持冒充可信实体(如银行、知名品牌、网上商家或政府机构)的网页的域名。
  • 恶意软件。为托管和/或传播未经用户允许在终端系统上安装的恶意软件或侵入性软件提供便利的域名。
  • 僵尸网络命令与控制。用于识别可控制僵尸网络的主机的域名,僵尸网络是被恶意软件感染的计算机的集合,可用于实施各种滥用活动,如启动拒绝服务攻击、发送垃圾邮件或发起网络钓鱼活动等。
  • 垃圾邮件。在未经请求发送的批量电子邮件中播发,或者被用于命名垃圾邮件交换系统的域名。"垃圾邮件"这一术语不再仅仅是指未经请求发送的批量电子邮件,它现已成为提供用于支持上述安全威胁活动的标识符(域名、超链接或地址)的一种重要方式。

DAAR 如何编译威胁数据?

DAAR 不是独立运行的。该系统本身不生成威胁数据,而是依赖于公开或商业信誉数据来识别上述四种类型的安全威胁并进行分类。DAAR 所用数据的信誉源提供商需要满足多项标准:准确性、覆盖范围、行业认可,以及源能否将事件分为 DAAR 可跟踪的安全威胁类型。

如果列出的域涉及两类或多类威胁,则该域将被计入每个相关威胁类别。但是,在计算 TLD 或注册服务机构域名资产组合中涉及安全威胁的域名总数时,以及在进行评分时,每个域名将仅计算一次。

DAAR 系统使用哪些信誉数据?

我们认为,收集报告给行业用户和互联网用户的安全威胁(滥用)数据是十分有用的。为数十亿用户提供保护的安全系统(如反垃圾邮件或反恶意软件网关或防火墙)会将这些数据整合到其威胁缓解措施中。这样,DAAR 就可以通过威胁数据反映用户和网络运营社群对域名生态系统的看法。

DAAR 整合了大量信誉数据源;请参阅本"常见问题解答"最后部分中的数据源和提供商列表,了解截止到本文撰写之日所使用的信誉数据源。总的来说,这些数据源提供了 DAAR 可以测量或分析的安全威胁的多个来源。为确保数据质量,并评估 ICANN 社群今后可能确定的安全威胁,DAAR 设计为具备可扩展性。这样就可以在未来添加或删除信誉提供商的数据源。

DAAR 的数据有多可靠?

目前,DAAR 使用两类数据:域数据和信誉数据。

DAAR 每天都会使用 ICANN 的集中化域资料服务和/或通过与 TLD 运营商签署的协议直接提供的方式收集 TLD 域数据。域数据基本上每天提供一次,按照合同规定,必须提供通用顶级域 (gTLD) 的域数据,可以自愿提供国家和地区顶级域 (ccTLD) 的域数据。因此,DAAR 直到第二天才会看到每天发布域数据后的域变化情况。

DAAR 收集来自基于准确性信誉挑选出的提供商的信誉数据(此处定义为在整个运营安全社群获得几乎一致的通过)。提供商必须具有明确定义的用于在其源中添加和从中删除已确定域名的流程。另一个选择标准是学术界在研究论文和论文中以及工业界在产品和服务中普遍使用他们的源。最后,数据源必须至少支持 DAAR 跟踪的四类安全威胁中的一类。我们正在努力制定更加强大的数据源评估(选择/删除)方法,并将在不久的将来公布。

数据的最新程度如何?

DAAR 使用的数据每天更新,每天都会从新的 TLD 域文件中收集域名计数。由于一些注册管理运行机构在续订之前仅允许在有限时间段内访问域文件,这偶尔会造成差距。信誉提供商会持续不断地向其列表中添加域名。系统每天多次从每个提供商收集这些更新的数据。此外,每个提供商还有一个从其列表中删除域名的流程,DAAR 会对这些删除操作进行跟踪和计数。一般而言,只要提供商认为域名不构成安全问题,就会列出该域名,但如果认为域名构成安全问题,即会将其删除。域名可能只列出几分钟或几个月,具体取决于提供商的相关政策和标准。

有些列表不跟踪滥用状态,因此不提供"删除"标记。例如,反网络钓鱼工作组 (Anti-Phishing Working Group, APWG) 的网络钓鱼数据源。这是一个新确认的网络钓鱼标识符列表,但 APWG 不跟踪哪些站点在运行,哪些站点已关闭。保守地说,当域名列在 APWG 源中时,我们只将该域计算为"已列出"或"活动"一天。

DAAR 是否会查找 DNS 中的所有安全威胁实例?

否。DAAR 系统从多个信誉服务提供商收集安全威胁数据。但是,这些提供商不会声明看到或列出互联网上发生的全部威胁活动。因此,我们注意到 DAAR 提供的是基础衡量,与域名相关的安全威胁的数量要大于这个系统所记录的数量。DAAR 数据用户应该认为这些数据所代表的统计信息只是给定 TLD 中的一部分安全威胁问题。

DAAR 是否只列出由恶意相关方注册的域名?

否。一般而言,大多数信誉提供商都无法明确注册人注册域名的动机。同样,DAAR 也不太可能知道域名注册背后的动机。DAAR 依赖于使用现代化安全威胁检测技术的信誉提供商。一些提供商的数据源中可能还包含因托管服务遭受入侵而被恶意滥用的域名。我们正在努力寻找方法,以便能够区分这两类域。

DAAR 如何处理信誉数据中的误报?

通过独立审核,我们选择的列表中的误报率已经很低。DAAR 不会修改从信誉数据源接收的数据,因此,如果信誉数据源中存在误报,则 DAAR 输出中也会反映出这些误报。但是,由于电子邮件服务提供商、互联网服务提供商、解析器运营商等许多相关方都需要使用这些信誉数据源,因此,无论 DAAR 如何报告误报,这些误报都将影响域名生态系统。从所报告的安全威胁对这些相关方的影响来看,如果在 DAAR 系统内进一步减少误报,会导致相互冲突或虚假的信息。ICANN 的 SSR 小组一直在监控数据质量。因此,可以根据 SSR 小组成员进行的质量评估或社群的反馈意见来添加或删除信誉数据源。

谁将有权访问 DAAR?

只有 ICANN 员工和签约的开发人员可以通过其管理界面直接访问 DAAR。注册管理机构现在可以通过 ICANN SLAM 系统访问其自己的数据。要了解更多信息,请联系 Gustavo.Lozano@icann.org

OCTO 的 SSR 小组将与 ICANN 社群携手合作,找到分享 DAAR 收集的统计数据以及对这些数据的分析结果的最佳方式。

DAAR 与开放数据倡议有什么关系?

开放数据倡议是一个概括性术语,指的是为使任何人都能方便地访问 ICANN 组织或社群创建或管理的数据的工作。DAAR 使用来自公共、公开和/或商业来源的数据。DNS 域数据和 WHOIS 注册数据是公开的。有些信誉数据源是公开的,而有些是需要购买许可证或订阅的商业数据源。对于某些商业数据源,许可允许派生但不允许直接使用。如果未对 DAAR 相关数据的再分发施加任何限制,则这些数据及其分析结果将定期发布并纳入开放数据倡议。

DAAR 将在 ICANN 政策中发挥怎样的作用?

DAAR 的目的是提供可验证和可复制的数据以进行分析,从而帮助做出明智的共识性政策决策。DAAR 汇集了运营安全社群观察、报告和使用的全部域名信誉数据。ICANN 社群可自行决定是否或如何在进行政策审议时使用从 DAAR 收集的数据生成的报告。

DAAR 是否属于 ICANN 的职权范围?

ICANN 要根据其使命帮助确保其协调的顶层互联网唯一标识符系统的安全性和稳定性,ICANN 组织和社群都必须意识到该系统面临的威胁。为满足 ICANN 的公开性和透明度要求,ICANN 组织必须尽可能地将收集到的数据提供给社群。最后,ICANN 组织,特别是首席技术官办公室负责提供中立、公正的数据和分析结果,以促进政策讨论和政策制定。

如何针对 DAAR 提供意见和建议?

信誉数据提供商和数据源列表

DAAR 整合了自 2017 年 7 月起的下列拦截清单。

  • Spamhaus 域名拦截清单 (DBL)。在垃圾邮件中播发的域名、用于网络钓鱼的域名以及用于支持恶意软件的域名。
  • SURBL。在垃圾邮件中播发的域名、用于网络钓鱼的域名以及用于支持恶意软件的域名。
  • 反网络钓鱼工作组。URL 拦截清单源:用于网络钓鱼的域名。
  • Phishtank。用于网络钓鱼的域名。
  • Malware Patrol:用于支持恶意软件的域名。此外,Malware Patrol 的数据源还整合了以下恶意域名拦截清单中列出的域名:

    • SpamAssassin
    • Carbon Black 恶意域名
    • Squid Web 代理
    • Smoothwall
    • Symantec Email Security for SMTP
    • Symantec Web Security
    • Firekeeper
    • DansGuardian
    • 勒索软件 URL
    • 僵尸网络命令与控制服务器 IP
  • Ransomware Tracker。恶意软件僵尸网络命令与控制服务器。
  • Feodotracker。用于支持恶意软件的域名。
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."