在攻击发生前拦截恶意域名

常见问题

什么是 First Watch API？

First Watch API 提供对 First Watch 预测性威胁情报数据库的访问权限，该数据库旨在在域名注册后的数小时内识别出恶意域名。与传统系统（通常需要等到域名被用于攻击或参与活跃攻击后才能发现）不同，First Watch 采用专有的深度学习神经网络来分析数据点并预测其意图。该系统专门针对钓鱼、恶意软件和命令与控制（C2）基础设施等高风险类别。

该引擎每天处理约30万条注册记录，耗时不到五分钟，从而使API能够在恶意域名创建后一小时内，向安全团队提供一份高可信度的恶意域名清单。这使企业能够从被动防御转向主动进攻，在危险基础设施开始与其网络交互之前将其拦截。

First Watch API 充当早期预警系统，有效封堵了攻击者通常在域名创建后的头几天内所利用的攻击窗口。

First Watch 与传统的威胁情报工具有何不同？

传统的威胁情报系统属于被动型。它们需要等待某个域名发起攻击、被上报并经过人工核实后，才会将其加入黑名单。这种延迟会形成一个危险的窗口期，在此期间用户处于无防护状态。

First Watch API 通过使用预测性神经网络颠覆了这一模式。它不再被动等待恶意活动发生，而是每天分析数千个域名的注册模式和结构指标，从而在恶意域名刚一创建时便将其揪出。

First Watch 能在攻击发生前就将其拦截，而非在造成损害后才进行记录。

使用 First Watch API 有哪些优势？

First Watch API 的主要优势包括：

• 主动威胁检测：该工具利用深度学习神经网络分析域名注册模式，在恶意域名注册后一小时内即可识别出其恶意性质，并在攻击发起前发出预警。
• 高精度情报：First Watch 以 98% 的准确率剔除冗余信息。较低的误报率确保安全运营中心 (SOC) 团队能够专注于已确认的威胁，而非追查虚假警报或正常的营销基础设施。
• 全面的基础设施覆盖：该工具利用数十亿条历史WHOIS和DNS记录，能够全面揭露恶意基础设施，包括标准黑名单所遗漏的相关IP网段和注册人模式。
• 顺畅的业务集成：该 API 专为高速自动化而设计，具备企业级可靠性。它支持标准数据格式，并能与常见的安全工作流无缝集成。此外，它还具备一系列功能，有助于在自动化环境中保持稳定、高效的性能。

First Watch API 是如何检测域名抢注和冒充行为的？

First Watch API 通过多层自动化方法检测域名抢注和冒充行为。

该系统不再等待域名用于托管恶意内容，而是利用递归深度学习神经网络在域名注册的瞬间分析其“域名DNA”。通过评估注册商信誉、DNS记录模式以及与已知威胁行为者的关联，从而识别高风险基础设施。

为了检测冒充行为，该 API 采用近似字符串匹配技术执行模糊搜索。这可以检测到以下情况：

• 同形异义字：来自不同字母表但外观相似的字符。
• 组合抢注：品牌与“支持”或“验证”等关键词组合使用。
• 字符替换：常见拼写错误和重复字母。

该脚本逻辑允许精确查找在未找到完全匹配时自动转为模糊搜索，从而确保即使那些旨在躲避人眼察觉的细微变体也能被标记出来。

既然我已经有了威胁情报解决方案，为什么还需要 First Watch？

大多数传统的威胁情报解决方案都是被动的，这意味着它们只有在某个域名出现在实际攻击中后才会将其标记为可疑。这导致了“零号病人”问题——即在威胁被识别之前，总会有前几名受害者遭到入侵。First Watch 通过在首次攻击尚未开始时就识别出威胁，消除了这一漏洞。

First Watch 实时监控近 15,000 个域名注册商和域名服务器，能够检测出传统工具可能要 14 个月后才能发现的基础设施问题。它作为第一道防线，通过提供预测性数据来增强您现有的安全体系，帮助您的团队优先处理真正的威胁，而非过时的警报。

如何开始使用 First Watch API？

如需开始使用 First Watch API，或有任何疑问，请联系我们，我们的团队将尽快与您联系。