一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,具體涉及一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法。
【背景技術(shù)】
[0002]域名系統(tǒng)(Domain Name System�����,縮寫DNS)是因特網(wǎng)的一項(xiàng)核心服務(wù)����,它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù),是用戶訪問(wèn)網(wǎng)絡(luò)資源的入口。由于其直觀性和便利性��,方便了人們對(duì)于網(wǎng)絡(luò)資源的訪問(wèn)����,但同時(shí)也產(chǎn)生了大量的域名濫用現(xiàn)象,包括網(wǎng)絡(luò)釣魚���,色情����、賭博等不良網(wǎng)站����、僵尸網(wǎng)絡(luò)等,造成了用戶信息的泄露及財(cái)產(chǎn)的損失����,更為社會(huì)風(fēng)氣帶來(lái)了嚴(yán)重的不良影響。
[0003]隨著部分頂級(jí)域(例如.CN域名)實(shí)名認(rèn)證的實(shí)施以及打擊域名濫用力度的增強(qiáng)�,不法分子利用域名濫用牟取暴利的難度增大。為了躲避不良應(yīng)用審查及檢測(cè)��,惡意跳轉(zhuǎn)�����、惡意嵌入類型的不良網(wǎng)站日益增多。這兩種類型的網(wǎng)站其典型的特點(diǎn)是:可見而不可得����。所謂“可見而不可得”指的是通過(guò)瀏覽器打開網(wǎng)站,可以看到其屬于明顯的不良網(wǎng)站�����;但通過(guò)抓取網(wǎng)頁(yè)源碼進(jìn)行不良應(yīng)用檢測(cè)時(shí)���,卻無(wú)法檢測(cè)到不良元素存在����。
[0004]惡意跳轉(zhuǎn)網(wǎng)站其特點(diǎn)是從一個(gè)網(wǎng)址(域名)跳到另一個(gè)網(wǎng)址(域名)����,甚至跳轉(zhuǎn)多次�����。該類網(wǎng)站主要通過(guò)Refresh�、JavaScript等形式提供不良服務(wù)��。以JavaScript跳轉(zhuǎn)為例�,JavaScript本身是編程語(yǔ)言�����,跳轉(zhuǎn)方式多樣化�,被稱為惡意跳轉(zhuǎn),目前對(duì)該類型的網(wǎng)站尚無(wú)完備的解決方案�����。除此之外���,搜索引擎都對(duì)于JavaScript代碼也均不做處理���。因而惡意跳轉(zhuǎn)又被叫做跳轉(zhuǎn)作弊。
[0005]惡意嵌套網(wǎng)站�����,指網(wǎng)頁(yè)通過(guò)使用某種框架���,或通過(guò)JavaScript代碼�,實(shí)現(xiàn)對(duì)另外一個(gè)網(wǎng)頁(yè)的嵌套,網(wǎng)絡(luò)爬蟲得到的是一個(gè)頁(yè)面���,而用戶看到的是另外一個(gè)頁(yè)面的信息���,很多網(wǎng)站,特別是色情和賭博等不良網(wǎng)站熱衷于使用嵌套作弊技術(shù)�,究其原因,不外乎兩點(diǎn):1)用來(lái)欺騙自動(dòng)化探測(cè)算法��,以躲避監(jiān)管����、謀取利益;2) —旦被查處��,可以很容易死而復(fù)生��,因?yàn)楸磺度氲膬?nèi)核網(wǎng)站還在��,只需要換一個(gè)外殼�����,就能繼續(xù)提供服務(wù)�。由于該類網(wǎng)站的實(shí)現(xiàn)主要通過(guò)JavaScript代碼惡意跳轉(zhuǎn)和外域嵌入等形式提供不良服務(wù),且JavaScript作為編程語(yǔ)言�����,嵌入方式不計(jì)其數(shù)���,給識(shí)別帶來(lái)極大的困難����。類似的��,該類網(wǎng)站還可能通過(guò)CSS模式惡意嵌套或嵌入�。
[0006]可見,對(duì)于惡意跳轉(zhuǎn)及惡意嵌套類的不良網(wǎng)站�,傳統(tǒng)的識(shí)別方法,包括基于文本和鏈接等信息的統(tǒng)計(jì)學(xué)習(xí)��、基于圖像識(shí)別的檢測(cè)均已失效�����。
【發(fā)明內(nèi)容】
[0007]針對(duì)上述問(wèn)題�����,本發(fā)明的目的是提出一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法,基于域名解析��,通過(guò)模擬瀏覽器訪問(wèn)行為��,捕獲上述兩類網(wǎng)站的域名查詢集合�����,最終通過(guò)黑名單匹配的機(jī)制實(shí)現(xiàn)兩類網(wǎng)站的判定�����。
[0008]為達(dá)上述目的����,本發(fā)明采取的具體技術(shù)方案是:
[0009]一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法,包括以下步驟:
[0010]1)構(gòu)建一域名黑名單����;
[0011]2)搭建一遞歸服務(wù)器,在一待判定網(wǎng)站發(fā)起域名查詢請(qǐng)求時(shí)進(jìn)行遞歸解析�,同時(shí)啟用查詢?nèi)罩居涗浌δ埽瑢?duì)待判定網(wǎng)站發(fā)起的域名查詢請(qǐng)求進(jìn)行記錄����;同時(shí)設(shè)置一服務(wù)器的DNS查詢指向該遞歸服務(wù)器�;
[0012]3)利用服務(wù)器模擬瀏覽器訪問(wèn)行為��,對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)�����;
[0013]4)對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析��,捕獲各待判定網(wǎng)站的對(duì)應(yīng)的域名查詢序列���,對(duì)其進(jìn)行歸并,形成待篩選的域名列表�����;
[0014]5)對(duì)于域名列表中的各域名進(jìn)行篩選��,形成疑似濫用域名列表��;
[0015]6)將疑似濫用域名列表與所述域名黑名單進(jìn)行比對(duì)�����,并取交集;若交集不為空�,則判定該交集對(duì)應(yīng)的待判定網(wǎng)站為惡意網(wǎng)站。
[0016]進(jìn)一步地����,步驟1)中所述域名黑名單的來(lái)源包括:公安部28類違法和不良的人工舉報(bào)數(shù)據(jù)、中國(guó)反釣魚網(wǎng)站聯(lián)盟每日處理的數(shù)據(jù)及網(wǎng)絡(luò)公布數(shù)據(jù)�。
[0017]進(jìn)一步地,所述網(wǎng)絡(luò)公布數(shù)據(jù)可選為phishingtank數(shù)據(jù)����。
[0018]進(jìn)一步地,步驟2)中所述遞歸服務(wù)器通過(guò)BIND軟件搭建��;所述啟動(dòng)查詢?nèi)罩居涗浌δ芡ㄟ^(guò)設(shè)置遞歸服務(wù)器的配置文件實(shí)現(xiàn)�。
[0019]進(jìn)一步地,步驟2)中所述模擬瀏覽器訪問(wèn)行為之前清除并禁用瀏覽器緩存及瀏覽器的DNS緩存���。
[0020]進(jìn)一步地�����,步驟4)中所述待篩選的域名列表的格式如下:
[0021]NETSTAT10N1—> (domainnamel��,domainname2����,.....)
[0022]NETSTAT10N2—> (domainname3, domainname4,......)
[0023]......
[0024]其中NETSTAT10N1、NETSTAT10N2 為待判定網(wǎng)站���,domainnamel ?domainname4 為各網(wǎng)站對(duì)應(yīng)的待篩選的域名�。
[0025]進(jìn)一步地��,步驟3)中所述對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)時(shí)���,每訪問(wèn)一個(gè)待判定網(wǎng)站,再對(duì)一個(gè)不存在的網(wǎng)站進(jìn)行訪問(wèn)�����。
[0026]進(jìn)一步地����,步驟4)中所述對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析,捕獲各待判定網(wǎng)站的對(duì)應(yīng)的域名查詢序列包括����,提取前后兩次訪問(wèn)該不存在的網(wǎng)站之間的查詢?nèi)罩尽?br>[0027]進(jìn)一步地,步驟5)中所述對(duì)于域名列表中的各域名進(jìn)行篩選包括����,對(duì)于域名列表中的各域名依據(jù)其對(duì)應(yīng)的待判定網(wǎng)站的PR值進(jìn)行篩選�。
[0028]進(jìn)一步地�,所述對(duì)于域名列表中的各域名依據(jù)其對(duì)應(yīng)的待判定網(wǎng)站的PR值進(jìn)行篩選包括,若一待篩選域名對(duì)應(yīng)的網(wǎng)站的PR值小于一設(shè)定閥值�,則將此域名添加至疑似濫用域名列表,否則�����,判定該域名為非濫用域名�。
[0029]如上述,本方法的實(shí)現(xiàn)主要包括以下兩個(gè)方面:
[0030](1)提出黑名單匹配機(jī)制進(jìn)行不良網(wǎng)站判定����。
[0031]考慮到以惡意跳轉(zhuǎn)和惡意嵌入不良網(wǎng)站作弊行為往往是為了核心網(wǎng)站內(nèi)容的重復(fù)利用。在進(jìn)行不良網(wǎng)站檢測(cè)之前��,首先構(gòu)建一個(gè)大型的黑名單��,該黑名單的大小和實(shí)時(shí)性決定了在實(shí)際互聯(lián)網(wǎng)檢測(cè)環(huán)境中的有效性���。
[0032](2)通過(guò)搭建遞歸服務(wù)器捕獲不良網(wǎng)站域名查詢集合
[0033]考慮到惡意跳轉(zhuǎn)及惡意嵌套不良網(wǎng)站�,其在頁(yè)面載入的過(guò)程中�����,均需要發(fā)起一系列跨域的DNS查詢請(qǐng)求,本發(fā)明的方法從DNS查詢請(qǐng)求入手��,搭建一個(gè)專用的DNS遞歸服務(wù)器���,并設(shè)置電腦DNS查詢指向該服務(wù)器�����,通過(guò)模擬瀏覽器訪問(wèn)行為,捕獲域名查詢的集合�,進(jìn)一步取該集合與黑名單的交集,如果交集不為空��,則判定該網(wǎng)站為不良網(wǎng)站����。
[0034]較傳統(tǒng)的識(shí)別方法具有以下優(yōu)點(diǎn):
[0035]本發(fā)明的方法基于域名解析,無(wú)需對(duì)網(wǎng)頁(yè)代碼進(jìn)行解析和檢測(cè)��,而是通過(guò)模擬訪問(wèn)行為提取待判定網(wǎng)站的域名查詢序列����,避免編程代碼的誤導(dǎo)��,具有更高的準(zhǔn)確性�,且黑名單根據(jù)網(wǎng)絡(luò)公開的安全信息數(shù)據(jù)實(shí)時(shí)的更新和調(diào)整�����,具有廣泛的適應(yīng)性����。
【附圖說(shuō)明】
[0036]圖1為本發(fā)明實(shí)施例中方法流程示意圖。
[0037]圖2為【具體實(shí)施方式】中所述common, js文件部分內(nèi)容的示意圖��。
[0038]圖3為【具體實(shí)施方式】中所述fery.js文件部分內(nèi)容的示意圖���。
【具體實(shí)施方式】
[0039]為使本發(fā)明的上述特征和優(yōu)點(diǎn)能更明顯易懂�,下文特舉實(shí)施例��,并配合所附圖作詳細(xì)說(shuō)明如下�����。
[0040]本發(fā)明的工作原理是:考慮到【背景技術(shù)】所述的惡意行為在瀏覽器載入網(wǎng)頁(yè)時(shí)都會(huì)發(fā)起一系列DNS查詢請(qǐng)求����,因此���,本發(fā)明從域名解析的角度出發(fā),提出了一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法���。包括以下的具體實(shí)現(xiàn)方式:
[0041](1)構(gòu)建大型黑名單
[0042]首先�,構(gòu)建一個(gè)大型的黑名單考慮到惡意跳轉(zhuǎn)和惡意嵌入不良網(wǎng)站的作弊行為往往是為了核心網(wǎng)站內(nèi)容的重復(fù)利用����。該黑名單的大小和實(shí)時(shí)性決定了在實(shí)際互聯(lián)網(wǎng)檢測(cè)環(huán)境中的有效性。黑名單數(shù)據(jù)來(lái)源包括但不限定于:公安部28類違法和不良的人工舉報(bào)數(shù)據(jù)���,中國(guó)反釣魚網(wǎng)站聯(lián)盟每日處理的數(shù)據(jù)����、網(wǎng)絡(luò)公布數(shù)據(jù)如phishingtank數(shù)據(jù)等����。
[0043](2)搭建遞歸服務(wù)器
[0044]利用BIND軟件搭建遞歸服務(wù)器��,用于待判定網(wǎng)站在發(fā)起域名查詢請(qǐng)求時(shí)進(jìn)行遞歸解析�����,同時(shí)設(shè)置遞歸服務(wù)器的配置文件,啟用查詢?nèi)罩居涗浌δ?����,同時(shí)設(shè)置禁止使用遞歸服務(wù)器緩存���,對(duì)待判定網(wǎng)站發(fā)起的域名查詢請(qǐng)求進(jìn)行記錄���。進(jìn)一步設(shè)置服務(wù)器的DNS查詢指向該遞歸服務(wù)器,這樣瀏覽器在發(fā)起DNS查詢時(shí)�,即可將查詢請(qǐng)求發(fā)送至該遞歸服務(wù)器。
[0045]以網(wǎng)站www.bjydhsbyxgs.cn 的解析為例:
[0046](1)服務(wù)器模擬瀏覽器發(fā)出bjydhsbyxgs.cn域名解析請(qǐng)求�����,并將該請(qǐng)求發(fā)送給搭建的遞歸服務(wù)器�;
[0047](2)由于在本發(fā)明中禁用遞歸服務(wù)器緩存,當(dāng)遞歸服務(wù)器收到請(qǐng)求之后��,將查詢請(qǐng)求發(fā)給根域名服務(wù)器����,同時(shí)在查詢?nèi)罩局杏涗洸樵兊挠蛎缓蟾蛎?wù)器返回給遞歸服務(wù)器一個(gè)所查詢域的頂級(jí)域名服務(wù)器的地址;
[0048](3)遞歸服務(wù)器再向查詢返回的服務(wù)器發(fā)送請(qǐng)求�����,該服務(wù)器收到請(qǐng)求后查詢其數(shù)據(jù)庫(kù)��,返回與此請(qǐng)求對(duì)應(yīng)資源記錄����,遞歸服務(wù)器將返回的資源記錄保存到本地緩存。
[0049](4)重復(fù)步驟(3)�,直至找到正確的查詢記錄;
[0050](5)遞歸服務(wù)器將最終結(jié)果返回給瀏覽器���,并將結(jié)果保存至緩存��。
[0051]其查詢?nèi)罩局械挠蛎樵冇涗浫缦滤?
[0052]2卜May-2015 17:49:57.349client 192.168.189.129#35835 (bjydhsbyxgs.cn): query:bjydhsbyxgs.cn IN AAAA+ (192.168.189.129)
[0053]2卜May-2015 17:49:57.349client 192.168.189.129#53751 (bjydhsbyxgs.cn): query:bjydhsbyxgs.cn IN A+(192.168.189.129)
[0054