5.1.2.2 DNS 请求频率

文档摘要

5.1.2.2 DNS 请求频率 DNS 请求频率——这四个字，像一把钝刀，在安全运营的深夜里反复刮擦着SOC工程师的神经。它不爆炸，不告警，不弹窗；它只是安静地、持续地、略带羞涩地，在流量日志里多跳了几次。可就是这“多跳几次”，可能正是一台失陷主机在暗处批量解析恶意域名，是勒索软件在加密前疯狂枚举C2地址，是挖矿木马悄悄轮询备用矿池，是APT组织用DNS隧道悄然外泄千兆级数据……而你，正坐在监控台前，看着那条“DNS Query Rate: 47.3 qps（per host）”的聚合告警，皱眉、点开、翻页、再皱眉——然后默默把它拖进“低优先级待查”队列。这不是误报率高，而是特征太薄、噪声太厚、基线太虚、上下文太缺。