如检测到上述网址信息不在恶意地址库中 , 需要提交人工确认 。恶意网址检测整体流程如图4所示 。
文章插图
图4 恶意网址检测流程
03
恶意网址拦截应用方案
实际部署时 , 恶意网址拦截主要功能单元分为增强型DNS转发器和“拆链”平台 。利用深度报文检测DPI平台和恶意网址检测系统来进行全网恶意网址地址库的动态更新 。
首先 , 通过增强型DNS转发器解析本地DNS服务器转发来的域名解析请求 , 通过自身恶意网址特征库进行指纹信息比对 , 拦截恶意网址 , 通过DNS响应包重定向至官方警示信息页面 。
其次 , 对于使用非本地DNS(如阿里公共DNS等)或是直接使用IP地址访问网站的情况 , 当检测到用户访问恶意网址时 , 通过“拆链”平台发送FIN拆链数据包来终止访问行为 。恶意网址拦截应用流程如图5所示 。
文章插图
图5 恶意网址拦截应用流程通过基于DNS Forward技术的恶意网址拦截手段 , 对用户访问恶意网址的行为进行预先拦截 , 在用户还没有实际访问到恶意网站前就抢先终止了访问行为 , 不仅有助于减少全网恶意访问流量 , 还有效控制了用户面临的安全风险 。对于没有使用本地DNS服务器解析域名请求的用户 , 通过实时检测网络流量 , 实时干预恶意网址访问行为 , 给用户和恶意网站同时发送FIN拆链数据包来双向终止访问行为 。最后 , 通过深度报文检测DPI平台和恶意网址检测系统进行全网恶意网址分析 , 结合外部权威恶意网址信息共享等 , 动态更新全网恶意网址特征库 , 进一步发挥基于DNS Forward技术的恶意网址拦截手段的预先拦截作用 。
04
结 语
本文提出了一种针对多种应用场景下的恶意网址拦截方法 , 针对使用本地DNS服务器进行域名解析的情况 , 通过基于DNS Forward技术的恶意网址拦截手段 , 对用户访问恶意网址的行为进行预先拦截 。
对于使用非本地DNS或是直接使用IP地址访问网站的情况 , 深度报文检测DPI平台和恶意网址检测系统对恶意网址进行识别 , 再通过“拆链”技术进行恶意网址拦截 。通过基于DNS Forward恶意网址拦截手段的“近端防护”和“拆链”技术的补充应用 , 提升了全网防护效果 , 并有效减少了全网恶意访问流量 。
作者简介 >>>
张 涛(1983—) , 男 , 硕士 , 工程师 , 主要研究方向为网络安全防护技术 。
选自《通信技术》2020年第三期 (为便于排版 , 已省去原文参考文献)
推荐阅读
- 小米|启用“.中国”顶级域名!小米有新网址了:纯汉字、访问速度极快
- 淘宝店铺买家恶意差评怎么办 淘宝恶意差评的后果
- 淘宝店严重违规发布违禁信息 淘宝恶意骚扰他人可能会受到什么处罚
- 小心!黑客以假凭证过期通知散布恶意程序
- 免费查开放房 2020查开放房网址
- 利用openresty+lua+redis 实现封杀频繁恶意访问IP地址
- 淘宝同行恶意拍下申请退款 淘宝被恶意拍下立即申请退款
- 学习|女生频遭他人恶意修改考研志愿 账号被人登录:专家称个人信息遭泄露
- DNS域名攻击演示——“劫持”正常网页实现恶意重定向
- 安卓被曝安全漏洞:允许攻击者通过蓝牙向用户发送恶意软件