本發明提出一種針對利用域前置技術實現惡意攻擊的檢測方法及系統，所述方法通過設置終端TLS協議數據報文過濾條件，對數據流進行監控，獲得進程PID信息和SNI信息；利用鉤子程序對特定進程的流量進行監控，并提取構造的HTTP報文數據的HOST消息，將HOST字段與SNI字段比較，如果返回值為真，則恢復所述進程，否則阻斷該進程并發出告警信息。本發明還給出對應系統。通過本發明的技術方案可以提供在終端的檢測，避免由于使用HTTPS加密數據而難以檢測惡意流量信息。

技術領域

本發明涉及計算機網絡安全領域，特別涉及一種針對利用域前置技術實現惡意攻擊的檢測方法及系統。

背景技術

隨著APT攻擊已經是網絡空間的常態存在，而其未來增量部分將主要來自兩個因素：一是針對新興的關鍵信息基礎設施和傳統基礎設施的信息化；二是由于攻擊面不斷擴大、攻擊成本不斷下降而導致的入場門檻降低。與此同時，對APT攻擊的檢測、追溯、曝光和全網止損也同樣成為常態化的反制動作。

域前置(Domain Fronting)技術，其特點在于，真正訪問的域名并不是看到的域名，即可以隱藏攻擊者的真實地址，并且此技術能夠讓我們在一些受限制的網絡中依然連接到我們的CC服務器，其關鍵思想是在不同的通信層使用不同的域名，在HTTPS請求中，目標域名通常顯示在三個關鍵位置：DNS查詢，TLS(SNI)拓展及HTTP HOST主機頭中，通常，這三個地方都會是我們要訪問的域名地址，然而，在請求domain fronting中，DNS查詢以及SNI攜帶了一個域名(前域)，而在HTTP HOST頭中攜帶了另一個域名(隱蔽的，被禁止訪問的域名)。

目前代理規避存在的主要檢測手段包括根據內容阻斷(深度包檢測技術DPI)，根據IP地址阻斷，活動探針三種策略。而對于利用domain fronting技術傳輸的加密報文如HTTPS時，通常檢查器不能阻止DNS及SNI中正常請求的內容，并且HOST字段內容已被加密因而對檢查器不可見，但接收HTTPS請求的前端服務器可見。許多流行云服務和CDN，如Google，Amazon Cloudfront，Amazon S3，Azure，CloudFlare，Fastly和Akamai等高信譽域名可以被黑客利用作為CC地址隱藏惡意活動蹤跡。

發明內容

針對上述問題，本發明提出了一種針對利用域前置技術實現惡意攻擊的檢測方法及系統，通過在加密通信協議TLS握手階段結束，生成用于加密流量數據的會話密鑰時，利用HOOK鉤子記錄進程信息和SNI信息，HOOK鉤子攔截進程構造的數據報文，獲取報文中HOST字段數據并與SNI比較，來判斷是否為采用了域前置技術的惡意攻擊。

首先，本發明通過一種針對利用域前置技術實現惡意攻擊的檢測方法實現，所述方法包括：

S101，設置終端安全傳輸層協議數據報文過濾條件，對安全傳輸層協議握手階段數據流進行監控，捕獲符合過濾條件的報文；

S102，分析捕獲的報文，并記錄進程PID信息和SNI字段信息；

S103，設置所述進程構造數據報文函數的HOOK鉤子，監控所述進程的HTTP流量；

S104，提取所述進程構造的HTTP報文的HOST字段數據；

S105，將所述HOST字段數據與SNI字段信息比較，如果HOST字段和SNI字段同為域名或IP地址，則執行步驟S106；如果HOST字段為域名，SNI字段為IP地址，或HOST字段為IP地址，SNI字段為域名，則執行步驟S107；

S106，將HOST字段數據與SNI字段信息直接進行字符串匹配，如果匹配成功，則結果為真，否則結果為假；

S107，向HOST字段或SNI字段的域名發起DNS請求，將請求結果與HOST字段或SNI字段的IP地址匹配，如果匹配成功，則結果為真，否則結果為假；