恶意域名检测拦截技术的应用.docxVIP

摘要 在新技术、新应用的不断刺激下，各类网站应用服务如雨后春笋般不断涌现。伴随着互联 网 + 产业的蓬勃发展，网络安全形势日益严峻。钓鱼电子邮件攻击持续高发、仿冒网站窃取用户个人隐私信息及诈骗用户钱财等时刻威胁着用户的合法权益。这种情况下，迫切需要建立一套全网恶意网址综合防范治理体系。因此，提出了一种针对多种应用场景下的恶意网址拦截方法，通过基于DNS Forward 的恶意网址拦截、恶意短网址拦截、“拆链”技术在恶意网址拦截中的应用等技术手段，综合治理全网恶意域名检测拦截技术。不仅提升了全网防护效果，而且有效减少了全网恶意访问流量。 引言 截至 2020 年 6 月，我国网民规模达 8.54 亿，较 2019 年底增长 2 598 万，互联网在经济社会发展中的重要作用愈加凸显。伴随着互联网 + 产业的飞速发展，网络安全形势越来越严峻，网站挂马、网络诈骗、隐私窃取等日益威胁着广大网民的合法权益。2019 年上半年，国家互联网应急中心自主监测发现约 4.6 万个针对我国境内网站的仿冒页面 。 仿冒页面主要对知名网站、金融行业、电信行业网上营业厅等进行仿冒，并通过社会工程学等手段恶意收集用户敏感信息、诈骗用户钱财等。网站挂马行为更直接威胁到广大网民使用的个人终端，通过在个人终端上运行挂马程序以达到控制个人终端的目的，进而持续威胁网民的合法权益。恶意网站的肆虐对广大网民的正常上网行为构成了巨大威胁，因而迫切需要建立一套全网恶意网址综合防范治理体系。 一、恶意域名或网址检测 恶意域名或网址主要分为挂马网站、黄赌毒网站和钓鱼网站。挂马网站指的是向网站页面中加入恶意代码，当用户访问该页面时会自动访问被转向的网址、下载木马病毒，或是利用浏览器漏洞来执行恶意代码以达到危害用户权益的目的。黄赌毒网站宣扬的内容本身并不合法，这类网站中也可能隐藏着病毒木马。钓鱼网站是通过模仿知名网站页面等手段来欺骗用户，利用社会工程学恶意收集用户敏感信息、诈骗用户钱财等。 现今，浏览器恶意网址拦截技术悄然兴起 。常见的浏览器恶意网址拦截机制为浏览器会周期性地从指定服务器获取一份最新的网址黑名单，如果访问的网址存在于这个黑名单，那么浏览器会弹出一个警告页面。浏览器恶意网址拦截手段存在一定的局限性，拦截效果取决于浏览器厂商的技术实力，且恶意网址特征库无法根据全网恶意网址变化情况动态自适应，同时受限于用户的使用习惯，无法覆盖到全部用户。 二、恶意域名或网址检测拦截关键技术 1、DNS在域名拦截中的应用 当用户终端发出域名解析请求时，通常采用递归查询的方式向本地 DNS 服务器发出请求，然后等待域名解析响应，而后本地 DNS 服务器通过迭代查询方式向根 DNS 服务器发出请求，而根 DNS 服务器只是给出下一级 DNS 服务器的地址，然后本地 DNS服务器再向下一级 DNS 发送查询请求，直至得到最终解析结果，并最终通过本地 DNS 返回给用户。在互联网上使用最广泛的 DNS 服务软件 BIND中，有一个独特的 DNS 转发机制 。它会把所有DNS 域名解析请求先发送给转发器。DNS 转发器负责处理 DNS 域名解析请求，并建立充足的域名解析信息缓存，对发出的解析请求给出响应，返回域名对应的 IP 地址信息。DNS 解析通常在用户实际访问到网站之前，如果能够在 DNS 解析阶段对恶意网址实施拦截，将能够有效保护用户的合法益，并可以有效压制恶意网络流量。 如图所示，通过 DNS Forward 技术，增强型 DNS 转发器根据本地 DNS 转发来的域名解析请求报文解析出域名信息，通过与恶意网址特征库匹配进判断。如果判定为恶意网址，将通过DNS 响应包重定向至官方警示信息页面，提醒用户正在访问的网站为恶意网站。如果判定为正常域名信息，将按照正常解析流程解析，并将域名解析结果返回给用户。 2、恶意短网址拦截技术 现今，短网址是一个潮流。借助短网址可以用简短的网址替代原来冗长的网址，使使用者可以更 容易分享链接，但同时也为恶意网址伪装打开了方便之门。恶意网址通过一个短码生成，并附加在短码提供服务商域名信息之后，具有很强的迷惑性 。短码服务提供商众多，且提供的短网转换服务具有有效期。 同样地，恶意网址在不同的短网址转换平台具有不同的表现形式，且某个时间段特定短码服务提供商的短码对应为恶意网址，而下个时间段该短码可能对应为正常网址信息。因此，建立短网址恶意地址库不符合实际情况，也无法适应恶意短网址的变化情况。 如图所示，增强型 DNS 转发器自解析获得如短码服务提供商 的 IP 地址，向这个地址发送 HTTP GET 请求，查询短码如 54R8NCd，以获得对应的长 URL。通过与标准的恶意网址特征库进行比对，如果为恶意网址，通过 DNS 响应包重定向至官方警示信息页面，提醒用户正