恶意网址拦截技术的应用研究( 三 ) _恶意网址

如检测到上述网址信息不在恶意地址库中，需要提交人工确认。恶意网址检测整体流程如图4所示。

文章插图

图4 恶意网址检测流程
03

恶意网址拦截应用方案

实际部署时，恶意网址拦截主要功能单元分为增强型DNS转发器和“拆链”平台。利用深度报文检测DPI平台和恶意网址检测系统来进行全网恶意网址地址库的动态更新。
首先，通过增强型DNS转发器解析本地DNS服务器转发来的域名解析请求，通过自身恶意网址特征库进行指纹信息比对，拦截恶意网址，通过DNS响应包重定向至官方警示信息页面。
其次，对于使用非本地DNS（如阿里公共DNS等）或是直接使用IP地址访问网站的情况，当检测到用户访问恶意网址时，通过“拆链”平台发送FIN拆链数据包来终止访问行为。恶意网址拦截应用流程如图5所示。

文章插图

图5 恶意网址拦截应用流程通过基于DNS Forward技术的恶意网址拦截手段，对用户访问恶意网址的行为进行预先拦截，在用户还没有实际访问到恶意网站前就抢先终止了访问行为，不仅有助于减少全网恶意访问流量，还有效控制了用户面临的安全风险。对于没有使用本地DNS服务器解析域名请求的用户，通过实时检测网络流量，实时干预恶意网址访问行为，给用户和恶意网站同时发送FIN拆链数据包来双向终止访问行为。最后，通过深度报文检测DPI平台和恶意网址检测系统进行全网恶意网址分析，结合外部权威恶意网址信息共享等，动态更新全网恶意网址特征库，进一步发挥基于DNS Forward技术的恶意网址拦截手段的预先拦截作用。
04

结语

本文提出了一种针对多种应用场景下的恶意网址拦截方法，针对使用本地DNS服务器进行域名解析的情况，通过基于DNS Forward技术的恶意网址拦截手段，对用户访问恶意网址的行为进行预先拦截。
对于使用非本地DNS或是直接使用IP地址访问网站的情况，深度报文检测DPI平台和恶意网址检测系统对恶意网址进行识别，再通过“拆链”技术进行恶意网址拦截。通过基于DNS Forward恶意网址拦截手段的“近端防护”和“拆链”技术的补充应用，提升了全网防护效果，并有效减少了全网恶意访问流量。
作者简介 >>>
张　涛（1983—），男，硕士，工程师，主要研究方向为网络安全防护技术。
选自《通信技术》2020年第三期（为便于排版，已省去原文参考文献）