基于云安全DNS网页挂马探测系统分析与设计.docVIP

基于云安全DNS网页挂马探测系统分析与设计 　　摘 要：伴随着Web应用需求的日益多样化，Web应用的开放性与交互性越来越强，相关的安全问题随之而来，而且呈现日益攀升趋势。针对这些问题，对基于云安全的DNS网页挂马检测模式进行了分析研究。?? 　　关键词：网络安全；网页挂马；云安全；检测?? 　　中图分类号：TP393.08 文献标识码：A 文章编号：1672-7800（2011）03-0146-03?お? 　　?? 　　 　　作者简介：李青(1982-)男,上海人，上海彬达学院讲师， 研究方向为计算机网络信息安全。 　　 　　1 网页挂马解决方案比较?? 　　针对挂马网页，目前常见的解决方案有3类：浏览器内置过滤功能；浏览器插件过滤；反病毒软件提供过滤功能。?? 　　1.1 浏览器内置过滤功能?? 　　目前常用的浏览器软件，包括Internet Explorer 7.0、Firefox 2.0、Opera 9.1、Safari 3.2及其之后的版本均内置挂马网页过滤功能。其中，Firefox使用Google提供的反挂马数据，Opera使用PhishTank和GeoTrust提供的数据。 ?? 　　浏览器实现的挂马网页过滤具有以下两个缺点：挂马网页过滤依赖于浏览器实现，与其支持的操作系统有关，并且不能为计算机上安装的其他网络软件或浏览器提供保护；浏览器需要将用户访问的页面地址发送给服务器进行比对，增加了网络带宽消耗、页面处理延迟，并且可能泄露用户的隐私。?? 　　1.2 浏览器插件过滤?? 　　基于浏览器插件的反挂马解决方案，典型应用有AVG LinkScanner、McAfee SiteAdvisor，除了提供挂马网页过滤，还包括了对搜索引擎搜索结果安全性的标注，帮助用户甄别搜索引擎结果中的有害网页。?? 　　浏览器插件提供的挂马网页过滤和浏览器内置功能相比，提供更强的安全保护能力，然而，此类插件对于浏览器的依赖更强，一般只能安装于Internet Explorer和Firefox浏览器，并且同样存在需联网检查用户访问内容的问题。?? 　　1.3 反病毒软件提供过滤功能?? 　　目前越来越多的反病毒软件具有包括反挂马网页在内的网络威胁过滤能力。此类软件对挂马网页过滤的实现方法与其查杀网页恶意代码的做法相似，杀毒软件的Web监控通常在本地提供HTTP透明代理，应用程序访问网页HTTP服务的流量都会经过杀毒软件的Web监控扫描。在此过程中，杀毒软件可以对网页的URL地址进行过滤，以屏蔽挂马网页。?? 　　与浏览器或浏览器插件提供的反挂马功能不同，反病毒软件过滤挂马网页的功能可以适用于计算机上安装的各类软件，并且，挂马网址数据库一般在反病毒软件更新病毒定义时同时下载，检测网址过程在本地即可完成。但是，此类实现方法对系统资源的消耗较大，依赖于操作系统（通常为Windows设计），且挂马网址数据库需频繁更新以应对最新的威胁。?? 　　2 融合云计算及多扫描引擎技术的DNS挂马网页过滤系统 　　 针对以上反挂马过滤实现方法存在的弊端，基于DNS的挂马网页过滤系统可以提供一个较好的解决方案。域名解析是用户访问网页所必须经历的过程，在DNS服务器上实现挂马网页过滤不会对用户的网络访问过程增加额外的步骤或产生任何影响。?? 　　基于DNS的实现适合任何接入网络的计算机或设备，与客户端运行的操作系统和浏览器无关，无需安装任何客户端程序或插件，适用范围广。挂马网页识别过程由DNS服务器完成，减轻客户端对资源消耗的压力。通过云计算技术，客户端无需下载保存任何挂马网址数据，所有的数据更新过程在DNS端完成，省去客户端数据库下载和更新，也避免了客户端数据库更新不及时造成的安全隐患，同时，通过多扫描引擎查杀，可向客户端提供针对最新威胁的及时保护。?? 　　总结以上4种反挂马解决方案，对比其性能特点如表1所示，基于DNS的挂马网页过滤系统在提供同样的保护能力的同时，可解决过滤系统对客户端的依赖，部署和维护更为简便。?? 　　 　　3 多扫描引擎技术?? 　　在当今的网络安全解决方案中没有一款使用单个杀毒引擎能最快最有效地识别木马及其他威胁。利用多引擎反病毒能有效地减少病毒感染的几率。?? 　　每一个病毒实验室所研制的扫描引擎是不一样的，没有一种可以称得上在各方面是最优?? 　　秀的，它们都有各自的优势与劣势。防病毒软件产品一般会使用混合式的技术去检测及击败病毒。以下是最主要的3种方法：特征文件、启发式检测、沙箱。?? 　　每一种技术方法都能十分有效地检测到病毒，但都不能百分之百成功检测。没有任何一个方法是最佳的检测病毒的解决方案，所以一些反病毒产品集合了两个或者更多的这些检测技术方法。最有效并且是唯