AWS介绍内部Mithra威胁情报系统

亚马逊网络服务公司（AWS）近日详细介绍了其用于检测恶意网站域名的内部系统Mithra。

这家云计算巨头称，Mithra平均每天发现18.2万个恶意域名。AWS利用该系统保护客户免受恶意网站流量的侵害。在某些情况下，Mithra还能帮助亚马逊检测针对组织的网络攻击——哪怕这些组织没有使用该公司的云服务。

黑客依靠恶意域为恶意软件网站提供动力，发送网络钓鱼电子邮件，并实施其他类型的网络攻击。及时发现恶意域名可以让企业阻断与之相关的网络流量，从而阻止入侵企图。然而，要始终如一地做到这一点并不容易，因为黑客会定期注册新的域名以躲避检测。

Mithra获取黑客活动数据的方法之一是AWS的MadPot蜜罐网络。“蜜罐”是一个看似商业文档或应用程序的文件，但实际上是一个传感器，旨在吸引网络攻击。

当黑客试图用恶意软件入侵MadPot传感器时，它会捕获到恶意软件并研究其工作原理。通过这一过程收集的信息有助于AWS阻止未来可能针对其客户的类似网络攻击。

该服务还利用其他来源（特别是亚马逊部门的云平台）的威胁情报，来捕捉恶意域。AWS 的平台由被称为区域的数据中心集群网络提供支持。该公司介绍称，其中一个区域每天要处理多达200万亿次DNS请求，即域名访问请求。

Mithra将收集到的威胁情报整理成图。这是一种数据结构，不仅可以保存单个数据点（如恶意域），还可以保存这些数据点之间的联系。例如，此图可以将恶意域与使用它们发动网络攻击的黑客组织联系起来。

亚马逊首席信息安全官CJ Moses在一篇博文中写道：“想象一下，一个如此庞大的图（也许是现有的、最大的图之一），人类根本无法查看并理解里面的全部内容，更不要说得出可用的见解了。” Mithra拥有35亿个节点和480亿个边缘，其信誉评分系统专门用于识别客户接触到的恶意域。

AWS使用Mithra为其Amazon GuardDuty威胁检测服务提供支持。该服务分析来自 Mithra 和第三方来源的数据，可以检测客户云环境中的恶意活动。

这家云计算巨头还使用 Mithra 来检测针对不使用其云的组织的网络攻击。Moses写道：“在某些情况下，当我们收到信号表明第三方（非客户）组织可能受到威胁行为者的攻击时，我们也会通知他们，因为这样做有助于阻止进一步的攻击，从而促进整个互联网的安全。”“通常，当我们提醒客户和其他人注意这类问题时，他们才第一次意识到自己可能受到了威胁。”

在许多情况下，AWS 不仅会提醒企业它们正成为黑客攻击的目标，还会分享修复建议。例如，这家云计算巨头可能会建议企业将易受攻击的工作负载转移到防火墙后面，以阻止入站流量。

Moses写道：“有时候，我们通知的客户和其他组织会提供信息，这反过来也有助于我们帮助其他人。”“在调查之后，如果受到影响的组织向我们提供了相关的入侵指标（IOC），这些信息可以用来加深我们对入侵是如何发生的理解。”