惡意網址攔截技術的應用研究*

張 濤

（中國移動通信集團安徽有限公司網絡部，安徽 合肥 230088）

0 引言

截至2019 年6 月，我國網民規模達8.54 億，較2018 年底增長2 598 萬，互聯網在經濟社會發展中的重要作用愈加凸顯。伴隨著互聯網+產業的飛速發展，網絡安全形勢越來越嚴峻，網站掛馬、網絡詐騙、隱私竊取等日益威脅著廣大網民的合法權益。2019 年上半年，國家互聯網應急中心自主監測發現約4.6 萬個針對我國境內網站的仿冒頁面[1]。仿冒頁面主要對知名網站、金融行業、電信行業網上營業廳進行仿冒，并通過社會工程學等手段惡意收集用戶敏感信息、詐騙用戶錢財等。網站掛馬行為更直接威脅到廣大網民使用的個人終端，通過在個人終端上運行掛馬程序以達到控制個人終端的目的，進而持續威脅網民的合法權益。惡意網站的肆虐對廣大網民的正常上網行為構成了巨大威脅，因而迫切需要建立一套全網惡意網址綜合防范治理體系。

1 惡意網址

惡意網址主要分為掛馬網站、黃賭毒網站和釣魚網站。掛馬網站指的是向網站頁面中加入惡意代碼，當用戶訪問該頁面時會自動訪問被轉向的網址、下載木馬病毒，或是利用瀏覽器漏洞來執行惡意代碼以達到危害用戶權益的目的。黃賭毒網站宣揚的內容本身并不合法，這類網站中也可能隱藏著病毒木馬。釣魚網站是通過模仿知名網站頁面等手段來欺騙用戶，利用社會工程學惡意收集用戶敏感信息、詐騙用戶錢財等[2]。

現今，瀏覽器惡意網址攔截技術悄然興起[3]。常見的瀏覽器惡意網址攔截機制為瀏覽器會周期性地從指定服務器獲取一份最新的網址黑名單，如果訪問的網址存在于這個黑名單，那么瀏覽器會彈出一個警告頁面。瀏覽器惡意網址攔截手段存在一定的局限性，攔截效果取決于瀏覽器廠商的技術實力，且惡意網址特征庫無法根據全網惡意網址變化情況動態自適應，同時受限于用戶的使用習慣，無法覆蓋到全部用戶。

2 惡意網址攔截關鍵技術

2.1 DNS Forward 在惡意網址攔截中的應用

當用戶終端發出域名解析請求時，通常采用遞歸查詢的方式向本地DNS 服務器發出請求，然后等待域名解析響應，而后本地DNS 服務器通過迭代查詢方式向根DNS 服務器發出請求，而根DNS 服務器只是給出下一級DNS 服務器的地址，然后本地DNS服務器再向下一級DNS 發送查詢請求，直至得到最終解析結果，并最終通過本地DNS 返回給用戶。

在互聯網上使用最廣泛的DNS 服務軟件BIND中，有一個獨特的DNS 轉發機制[4]。它會把所有DNS 域名解析請求先發送給轉發器。DNS 轉發器負責處理DNS 域名解析請求，并建立充足的域名解析信息緩存，對發出的解析請求給出響應，返回域名對應的IP 地址信息。

DNS 解析通常在用戶實際訪問到網站之前，如果能夠在DNS 解析階段對惡意網址實施攔截，將能夠有效保護用戶的合法權益，并可以有效壓制惡意網絡流量。如圖1 所示，通過DNS Forward 技術，增強型DNS 轉發器根據本地DNS 轉發來的域名解析請求報文解析出域名信息，通過與惡意網址特征庫匹配進行判斷。如果判定為惡意網址，將通過DNS 響應包重定向至官方警示信息頁面，提醒用戶正在訪問的網站為惡意網站。如果判定為正常域名信息，將按照正常解析流程解析，并將域名解析結果返回給用戶。

圖1 DNS Forward 在惡意網址攔截中的應用

2.2 惡意短網址攔截技術

現今，短網址是一個潮流。借助短網址可以用簡短的網址替代原來冗長的網址，使使用者可以更容易分享鏈接，但同時也為惡意網址偽裝打開了方便之門。惡意網址通過一個短碼生成，并附加在短碼提供服務商域名信息之后，具有很強的迷惑性[5]。

短碼服務提供商眾多，且提供的短網址轉換服務具有有效期。同樣地，惡意網址在不同的短網址轉換平臺具有不同的表現形式，且某個時間段特定短碼服務提供商的短碼對應為惡意網址，而下個時間段該短碼可能對應為正常網址信息。因此，建立短網址惡意地址庫不符合實際情況，也無法適應惡意短網址的變化情況。

如圖2 所示，增強型DNS 轉發器自解析獲得如短碼服務提供商t.cn 的IP 地址，向這個地址發送HTTP GET 請求，查詢短碼如54R8NCd，以獲得對應的長URL。通過與標準的惡意網址特征庫進行比對，如果為惡意網址，通過DNS 響應包重定向至官方警示信息頁面，提醒用戶正在訪問的網站為惡意網站。實際應用中，考慮到DNS 轉發器的負荷和網絡負載，可通過設置長短網址解析信息緩存，并通過TTL 機制設置長短網址解析信息緩存“老化時間”。

圖2 惡意短網址攔截技術

2.3 “拆鏈”技術在惡意網址攔截中的應用

對于使用非本地DNS（如阿里公共DNS 等）或是直接使用IP 地址訪問網站的情況，這種情況域名解析請求不會發送至本地DNS 服務器或是不需要進行域名解析，因此基于DNS Forward 技術的惡意網址攔截手段將無法發揮作用。

針對此種情況，通過深度報文檢測DPI 平臺和惡意網址檢測系統對惡意網址進行識別。當檢測到用戶訪問惡意網址時，通過“拆鏈”平臺發送FIN拆鏈數據包來終止訪問行為。

圖3 “拆鏈”技術在惡意網址攔截中的應用

如圖3 所示，“拆鏈”平臺部署在本網內，通過向用戶和惡意網站同時發送FIN 拆鏈數據包來達到雙向終止的目的。平臺部署在本網內，網絡時延也可以得到有效控制，拆鏈效果可以得到有效保障。

2.4 惡意網址特征庫

判斷一個網址是否為惡意網址，需要判斷的內容為網址URL、網頁文字、圖片、音視頻及網頁隱藏的惡意程序等，它們通常以單個或是組合的形式出現。產生危害的方式為單向傳播違法違規信息、誘騙用戶點擊產生惡意交互行為等。

文本檢測是進行惡意網址檢測的常用手段，而數據源可能來自網址URL、網頁文字、圖片上嵌入的文字及音視頻里的語音文字信息，因此需要先進行文本統一預處理。這里采用圖片OCR 識別技術、語音轉文本等技術統一對各個數據源進行文本提取操作。提取文本信息后，采用TF-IDF+機器學習來“粗篩選”惡意網址。利用TF-IDF 的“過濾常見詞語，保留重要詞語”的技術特性，結合多種機器學習模型聯合判別。當聯合判別結果一致為惡意網址時，將該網址添加到惡意網址庫中；判別結果不一致時，提交“沙箱”系統進行進一步判別。

除文本信息外，圖片信息、視頻信息（非文本部分）也可能存在違法違規信息的可能。因此，需采集現網大量正常的、異常的數據集進行機器學習模型訓練，需采用CNN、RNN、LSTM 等多種機器學習模型進行聯合判別。判別一致，添加到惡意網址庫中；判別不一致，則提交提交“沙箱”系統進行進一步判別。

經歷“粗篩選”后無法確認是否為惡意網址，需通過“沙箱”技術來進一步判別。某些情況下，惡意行為需要在真實的網頁環境中才會被觸發。因此，模擬用戶實際交互來進行惡意行為檢測。判斷為惡意網址的，添加到惡意網址特征庫；如仍無法判別，提交人工進行最后確認。

在對網址URL 進行檢測時，兼顧采用IP 歷史域名綁定情況篩選、知名網站相似度匹配，通過建立IP 歷史域名綁定次數TOPN 及知名網站相似度特征庫，重點關注歷史綁定次數頻繁或是與知名網站網址URL 相似度高的網址。如檢測到上述網址信息不在惡意地址庫中，需要提交人工確認。

惡意網址檢測整體流程如圖4 所示。

圖4 惡意網址檢測流程

3 惡意網址攔截應用方案

實際部署時，惡意網址攔截主要功能單元分為增強型DNS 轉發器和“拆鏈”平臺。利用深度報文檢測DPI 平臺和惡意網址檢測系統來進行全網惡意網址地址庫的動態更新。首先，通過增強型DNS轉發器解析本地DNS 服務器轉發來的域名解析請求，通過自身惡意網址特征庫進行指紋信息比對，攔截惡意網址，通過DNS 響應包重定向至官方警示信息頁面。其次，對于使用非本地DNS（如阿里公共DNS等）或是直接使用IP地址訪問網站的情況，當檢測到用戶訪問惡意網址時，通過“拆鏈”平臺發送FIN 拆鏈數據包來終止訪問行為。惡意網址攔截應用流程如圖5 所示。

圖5 惡意網址攔截應用流程

通過基于DNS Forward 技術的惡意網址攔截手段，對用戶訪問惡意網址的行為進行預先攔截，在用戶還沒有實際訪問到惡意網站前就搶先終止了訪問行為，不僅有助于減少全網惡意訪問流量，還有效控制了用戶面臨的安全風險。對于沒有使用本地DNS 服務器解析域名請求的用戶，通過實時檢測網絡流量，實時干預惡意網址訪問行為，給用戶和惡意網站同時發送FIN 拆鏈數據包來雙向終止訪問行為。最后，通過深度報文檢測DPI 平臺和惡意網址檢測系統進行全網惡意網址分析，結合外部權威惡意網址信息共享等，動態更新全網惡意網址特征庫，進一步發揮基于DNS Forward 技術的惡意網址攔截手段的預先攔截作用。

4 結語

本文提出了一種針對多種應用場景下的惡意網址攔截方法，針對使用本地DNS 服務器進行域名解析的情況，通過基于DNS Forward 技術的惡意網址攔截手段，對用戶訪問惡意網址的行為進行預先攔截。對于使用非本地DNS 或是直接使用IP 地址訪問網站的情況，深度報文檢測DPI 平臺和惡意網址檢測系統對惡意網址進行識別，再通過“拆鏈”技術進行惡意網址攔截。通過基于DNS Forward 惡意網址攔截手段的“近端防護”和“拆鏈”技術的補充應用，提升了全網防護效果，并有效減少了全網惡意訪問流量。