在新技術、新應用的不斷刺激下,各類網(wǎng)站應用服務如雨后春筍般不斷涌現(xiàn)。伴隨著互聯(lián)網(wǎng)+產(chǎn)業(yè)的蓬勃發(fā)展,網(wǎng)絡安全形勢日益嚴峻。釣魚電子郵件攻擊持續(xù)高發(fā)、仿冒網(wǎng)站竊取用戶個人隱私信息及詐騙用戶錢財?shù)葧r刻威脅著用戶的合法權益。這種情況下,迫切需要建立一套全網(wǎng)惡意網(wǎng)址綜合防范治理體系。因此,提出了一種針對多種應用場景下的惡意網(wǎng)址攔截方法,通過基于DNS Forward的惡意網(wǎng)址攔截、惡意短網(wǎng)址攔截、“拆鏈”技術在惡意網(wǎng)址攔截中的應用等技術手段,綜合治理全網(wǎng)惡意網(wǎng)址訪問行為。不僅提升了全網(wǎng)防護效果,而且有效減少了全網(wǎng)惡意訪問流量。
截至2019年6月,我國網(wǎng)民規(guī)模達8.54億,較2018年底增長2 598萬,互聯(lián)網(wǎng)在經(jīng)濟社會發(fā)展中的重要作用愈加凸顯。伴隨著互聯(lián)網(wǎng)+產(chǎn)業(yè)的飛速發(fā)展,網(wǎng)絡安全形勢越來越嚴峻,網(wǎng)站掛馬、網(wǎng)絡詐騙、隱私竊取等日益威脅著廣大網(wǎng)民的合法權益。2019年上半年,國家互聯(lián)網(wǎng)應急中心自主監(jiān)測發(fā)現(xiàn)約4.6萬個針對我國境內(nèi)網(wǎng)站的仿冒頁面。仿冒頁面主要對知名網(wǎng)站、金融行業(yè)、電信行業(yè)網(wǎng)上營業(yè)廳進行仿冒,并通過社會工程學等手段惡意收集用戶敏感信息、詐騙用戶錢財?shù)取>W(wǎng)站掛馬行為更直接威脅到廣大網(wǎng)民使用的個人終端,通過在個人終端上運行掛馬程序以達到控制個人終端的目的,進而持續(xù)威脅網(wǎng)民的合法權益。惡意網(wǎng)站的肆虐對廣大網(wǎng)民的正常上網(wǎng)行為構(gòu)成了巨大威脅,因而迫切需要建立一套全網(wǎng)惡意網(wǎng)址綜合防范治理體系。
01
惡意網(wǎng)址
惡意網(wǎng)址主要分為掛馬網(wǎng)站、黃賭毒網(wǎng)站和釣魚網(wǎng)站。掛馬網(wǎng)站指的是向網(wǎng)站頁面中加入惡意代碼,當用戶訪問該頁面時會自動訪問被轉(zhuǎn)向的網(wǎng)址、下載木馬病毒,或是利用瀏覽器漏洞來執(zhí)行惡意代碼以達到危害用戶權益的目的。黃賭毒網(wǎng)站宣揚的內(nèi)容本身并不合法,這類網(wǎng)站中也可能隱藏著病毒木馬。釣魚網(wǎng)站是通過模仿知名網(wǎng)站頁面等手段來欺騙用戶,利用社會工程學惡意收集用戶敏感信息、詐騙用戶錢財?shù)取?/p>
現(xiàn)今,瀏覽器惡意網(wǎng)址攔截技術悄然興起。常見的瀏覽器惡意網(wǎng)址攔截機制為瀏覽器會周期性地從指定服務器獲取一份最新的網(wǎng)址黑名單,如果訪問的網(wǎng)址存在于這個黑名單,那么瀏覽器會彈出一個警告頁面。瀏覽器惡意網(wǎng)址攔截手段存在一定的局限性,攔截效果取決于瀏覽器廠商的技術實力,且惡意網(wǎng)址特征庫無法根據(jù)全網(wǎng)惡意網(wǎng)址變化情況動態(tài)自適應,同時受限于用戶的使用習慣,無法覆蓋到全部用戶。
02
惡意網(wǎng)址攔截關鍵技術
2.1 DNS Forward在惡意網(wǎng)址攔截中的應用
當用戶終端發(fā)出域名解析請求時,通常采用遞歸查詢的方式向本地DNS服務器發(fā)出請求,然后等待域名解析響應,而后本地DNS服務器通過迭代查詢方式向根DNS服務器發(fā)出請求,而根DNS服務器只是給出下一級DNS服務器的地址,然后本地DNS服務器再向下一級DNS發(fā)送查詢請求,直至得到最終解析結(jié)果,并最終通過本地DNS返回給用戶。在互聯(lián)網(wǎng)上使用最廣泛的DNS服務軟件BIND中,有一個獨特的DNS轉(zhuǎn)發(fā)機制。它會把所有DNS域名解析請求先發(fā)送給轉(zhuǎn)發(fā)器。DNS轉(zhuǎn)發(fā)器負責處理DNS域名解析請求,并建立充足的域名解析信息緩存,對發(fā)出的解析請求給出響應,返回域名對應的IP地址信息。DNS解析通常在用戶實際訪問到網(wǎng)站之前,如果能夠在DNS解析階段對惡意網(wǎng)址實施攔截,將能夠有效保護用戶的合法權益,并可以有效壓制惡意網(wǎng)絡流量。如圖1所示,通過DNS Forward技術,增強型DNS轉(zhuǎn)發(fā)器根據(jù)本地DNS轉(zhuǎn)發(fā)來的域名解析請求報文解析出域名信息,通過與惡意網(wǎng)址特征庫匹配進行判斷。如果判定為惡意網(wǎng)址,將通過DNS響應包重定向至官方警示信息頁面,提醒用戶正在訪問的網(wǎng)站為惡意網(wǎng)站。如果判定為正常域名信息,將按照正常解析流程解析,并將域名解析結(jié)果返回給用戶。
圖1 DNS Forward在惡意網(wǎng)址攔截中的應用2.2 惡意短網(wǎng)址攔截技術現(xiàn)今,短網(wǎng)址是一個潮流。借助短網(wǎng)址可以用簡短的網(wǎng)址替代原來冗長的網(wǎng)址,使使用者可以更容易分享鏈接,但同時也為惡意網(wǎng)址偽裝打開了方便之門。惡意網(wǎng)址通過一個短碼生成,并附加在短碼提供服務商域名信息之后,具有很強的迷惑性。短碼服務提供商眾多,且提供的短網(wǎng)址轉(zhuǎn)換服務具有有效期。同樣地,惡意網(wǎng)址在不同的短網(wǎng)址轉(zhuǎn)換平臺具有不同的表現(xiàn)形式,且某個時間段特定短碼服務提供商的短碼對應為惡意網(wǎng)址,而下個時間段該短碼可能對應為正常網(wǎng)址信息。因此,建立短網(wǎng)址惡意地址庫不符合實際情況,也無法適應惡意短網(wǎng)址的變化情況。如圖2所示,增強型DNS轉(zhuǎn)發(fā)器自解析獲得如短碼服務提供商t.cn的IP地址,向這個地址發(fā)送HTTP GET請求,查詢短碼如54R8NCd,以獲得對應的長URL。通過與標準的惡意網(wǎng)址特征庫進行比對,如果為惡意網(wǎng)址,通過DNS響應包重定向至官方警示信息頁面,提醒用戶正在訪問的網(wǎng)站為惡意網(wǎng)站。實際應用中,考慮到DNS轉(zhuǎn)發(fā)器的負荷和網(wǎng)絡負載,可通過設置長短網(wǎng)址解析信息緩存,并通過TTL機制設置長短網(wǎng)址解析信息緩存“老化時間”。
圖2 惡意短網(wǎng)址攔截技術
2.3 “拆鏈”技術在惡意網(wǎng)址攔截中的應用對于使用非本地DNS(如阿里公共DNS等)或是直接使用IP地址訪問網(wǎng)站的情況,這種情況域名解析請求不會發(fā)送至本地DNS服務器或是不需要進行域名解析,因此基于DNS Forward技術的惡意網(wǎng)址攔截手段將無法發(fā)揮作用。針對此種情況,通過深度報文檢測DPI平臺和惡意網(wǎng)址檢測系統(tǒng)對惡意網(wǎng)址進行識別。當檢測到用戶訪問惡意網(wǎng)址時,通過“拆鏈”平臺發(fā)送FIN拆鏈數(shù)據(jù)包來終止訪問行為。如圖3所示,“拆鏈”平臺部署在本網(wǎng)內(nèi),通過向用戶和惡意網(wǎng)站同時發(fā)送FIN拆鏈數(shù)據(jù)包來達到雙向終止的目的。平臺部署在本網(wǎng)內(nèi),網(wǎng)絡時延也可以得到有效控制,拆鏈效果可以得到有效保障。
圖3 “拆鏈”技術在惡意網(wǎng)址攔截中的應用
2.4 惡意網(wǎng)址特征庫
判斷一個網(wǎng)址是否為惡意網(wǎng)址,需要判斷的內(nèi)容為網(wǎng)址URL、網(wǎng)頁文字、圖片、音視頻及網(wǎng)頁隱藏的惡意程序等,它們通常以單個或是組合的形式出現(xiàn)。產(chǎn)生危害的方式為單向傳播違法違規(guī)信息、誘騙用戶點擊產(chǎn)生惡意交互行為等。文本檢測是進行惡意網(wǎng)址檢測的常用手段,而數(shù)據(jù)源可能來自網(wǎng)址URL、網(wǎng)頁文字、圖片上嵌入的文字及音視頻里的語音文字信息,因此需要先進行文本統(tǒng)一預處理。
這里采用圖片OCR識別技術、語音轉(zhuǎn)文本等技術統(tǒng)一對各個數(shù)據(jù)源進行文本提取操作。提取文本信息后,采用TF-IDF+機器學習來“粗篩選”惡意網(wǎng)址。利用TF-IDF的“過濾常見詞語,保留重要詞語”的技術特性,結(jié)合多種機器學習模型聯(lián)合判別。當聯(lián)合判別結(jié)果一致為惡意網(wǎng)址時,將該網(wǎng)址添加到惡意網(wǎng)址庫中;判別結(jié)果不一致時,提交“沙箱”系統(tǒng)進行進一步判別。除文本信息外,圖片信息、視頻信息(非文本部分)也可能存在違法違規(guī)信息的可能。
因此,需采集現(xiàn)網(wǎng)大量正常的、異常的數(shù)據(jù)集進行機器學習模型訓練,需采用CNN、RNN、LSTM等多種機器學習模型進行聯(lián)合判別。判別一致,添加到惡意網(wǎng)址庫中;判別不一致,則提交提交“沙箱”系統(tǒng)進行進一步判別。經(jīng)歷“粗篩選”后無法確認是否為惡意網(wǎng)址,需通過“沙箱”技術來進一步判別。某些情況下,惡意行為需要在真實的網(wǎng)頁環(huán)境中才會被觸發(fā)。
因此,模擬用戶實際交互來進行惡意行為檢測。判斷為惡意網(wǎng)址的,添加到惡意網(wǎng)址特征庫;如仍無法判別,提交人工進行最后確認。在對網(wǎng)址URL進行檢測時,兼顧采用IP歷史域名綁定情況篩選、知名網(wǎng)站相似度匹配,通過建立IP歷史域名綁定次數(shù)TOPN及知名網(wǎng)站相似度特征庫,重點關注歷史綁定次數(shù)頻繁或是與知名網(wǎng)站網(wǎng)址URL相似度高的網(wǎng)址。
如檢測到上述網(wǎng)址信息不在惡意地址庫中,需要提交人工確認。惡意網(wǎng)址檢測整體流程如圖4所示。
圖4 惡意網(wǎng)址檢測流程
03
惡意網(wǎng)址攔截應用方案
實際部署時,惡意網(wǎng)址攔截主要功能單元分為增強型DNS轉(zhuǎn)發(fā)器和“拆鏈”平臺。利用深度報文檢測DPI平臺和惡意網(wǎng)址檢測系統(tǒng)來進行全網(wǎng)惡意網(wǎng)址地址庫的動態(tài)更新。
首先,通過增強型DNS轉(zhuǎn)發(fā)器解析本地DNS服務器轉(zhuǎn)發(fā)來的域名解析請求,通過自身惡意網(wǎng)址特征庫進行指紋信息比對,攔截惡意網(wǎng)址,通過DNS響應包重定向至官方警示信息頁面。
其次,對于使用非本地DNS(如阿里公共DNS等)或是直接使用IP地址訪問網(wǎng)站的情況,當檢測到用戶訪問惡意網(wǎng)址時,通過“拆鏈”平臺發(fā)送FIN拆鏈數(shù)據(jù)包來終止訪問行為。惡意網(wǎng)址攔截應用流程如圖5所示。
圖5 惡意網(wǎng)址攔截應用流程通過基于DNS Forward技術的惡意網(wǎng)址攔截手段,對用戶訪問惡意網(wǎng)址的行為進行預先攔截,在用戶還沒有實際訪問到惡意網(wǎng)站前就搶先終止了訪問行為,不僅有助于減少全網(wǎng)惡意訪問流量,還有效控制了用戶面臨的安全風險。對于沒有使用本地DNS服務器解析域名請求的用戶,通過實時檢測網(wǎng)絡流量,實時干預惡意網(wǎng)址訪問行為,給用戶和惡意網(wǎng)站同時發(fā)送FIN拆鏈數(shù)據(jù)包來雙向終止訪問行為。最后,通過深度報文檢測DPI平臺和惡意網(wǎng)址檢測系統(tǒng)進行全網(wǎng)惡意網(wǎng)址分析,結(jié)合外部權威惡意網(wǎng)址信息共享等,動態(tài)更新全網(wǎng)惡意網(wǎng)址特征庫,進一步發(fā)揮基于DNS Forward技術的惡意網(wǎng)址攔截手段的預先攔截作用。
04
結(jié) 語
本文提出了一種針對多種應用場景下的惡意網(wǎng)址攔截方法,針對使用本地DNS服務器進行域名解析的情況,通過基于DNS Forward技術的惡意網(wǎng)址攔截手段,對用戶訪問惡意網(wǎng)址的行為進行預先攔截。
對于使用非本地DNS或是直接使用IP地址訪問網(wǎng)站的情況,深度報文檢測DPI平臺和惡意網(wǎng)址檢測系統(tǒng)對惡意網(wǎng)址進行識別,再通過“拆鏈”技術進行惡意網(wǎng)址攔截。通過基于DNS Forward惡意網(wǎng)址攔截手段的“近端防護”和“拆鏈”技術的補充應用,提升了全網(wǎng)防護效果,并有效減少了全網(wǎng)惡意訪問流量。
作者簡介 >>>
張 濤(1983—),男,碩士,工程師,主要研究方向為網(wǎng)絡安全防護技術。
選自《通信技術》2020年第三期 (為便于排版,已省去原文參考文獻)
