超级会员免费看
网络安全与域名分类:非洲网站第三方依赖及域名风险分析
1. 钓鱼网站中的TLS证书使用情况
如今,网络钓鱼攻击日益猖獗,而TLS证书在其中扮演着复杂的角色。根据相关报告,2020年四分之三的钓鱼网站使用了HTTPS(基于TLS的HTTP),其目的是增加网站的合法性,更好地模仿目标网站,并减少被某些浏览器标记或阻止的可能性。然而,该报告混淆了被入侵的域名和恶意注册的域名。为了确定网络犯罪分子是否越来越多地使用TLS证书,我们需要区分这两类域名,并仅分析恶意注册域名中TLS证书的使用情况。
以下是不同类型域名在钓鱼攻击中使用TLS证书的统计情况:
| 域名类型 | 使用TLS证书的比例 |
| — | — |
| 被入侵的域名(用于钓鱼攻击) | 63.9% |
| 恶意注册的域名 | 55.2% |
| 恶意注册且使用可能付费TLS证书的域名 | 15.5% |
进一步调查发现,在使用TLS证书的恶意注册域名中,48.7%的证书由Sectigo颁发。这些域名大多在Namecheap注册,该平台提供包含域名注册、托管和由Sectigo颁发的一年有效TLS证书的一体化廉价托管套餐。
2. 域名分类系统的设计与应用
域名声誉系统对于互联网中介机构准确评估域名的性质至关重要,它能判断域名是良性的、可能被恶意注册的,还是已被入侵并用于分发恶意内容或支持恶意基础设施的正常运行。开发适用于运营环境的域名分类系统需要精心设计。
为了解决现有系统的不足,我们采取了以下步骤:
-
生成真实数据
:基于域名注册和托管相关中介机构采取的缓解措施,自动生成真实数据。
-
选择特征
:精心挑选公开可用的特征,确保系统能被不同角色(从DNS运营商、托管提供商到执法机构)实施。
-
处理缺失值
:仔细测量因测量和解析错误导致的缺失值程度,因为即使是最重要的特征,如果无法收集和用于分类,也没有实际价值。我们提出了一种基于多模型的新方法来处理缺失值,作为简单统计技术的替代方案。同时,根据预期的域名分类率和DNS运营商支持反滥用实践所需的性能,提出了选择模型的系统方法。
我们将原型分类器应用于20个月内的黑名单URL,并探索了被滥用域名的特征及其在不同顶级域名(TLD)中的分布。发现约四分之一用于发起网络钓鱼活动的域名被入侵,且通常无法在DNS级别被阻止。在新通用顶级域名(gTLD)中,恶意注册域名与被入侵域名的比例(96%)远高于国家代码顶级域名(ccTLD,73%)和传统通用顶级域名(legacy gTLD,69%)。结果还表明,恶意行为者在设计恶意注册域名的网站时通常很少投入精力部署多种技术,并且通常在注册后不久就使用这些域名。
以下是域名分类系统设计与应用的流程图:
graph LR
A[确定需求] --> B[生成真实数据]
B --> C[选择特征]
C --> D[处理缺失值]
D --> E[应用原型分类器]
E --> F[分析结果]
3. 非洲网站的第三方依赖情况
网站日常会将关键服务(如名称解析DNS、内容分发CDN和证书颁发/撤销CA)外包给第三方。这种依赖关系虽然带来了便利,但也带来了安全风险。例如,对DNS的依赖曾导致多个网站因DNS提供商遭受Mirai分布式拒绝服务(DDoS)攻击而停机数小时;2016年,单个CA错误撤销证书导致多个网站用户数周无法访问账户。
以往对第三方依赖的研究主要集中在北美和欧洲的网站,非洲网站在这些研究中代表性不足。为了弥补这一差距,我们研究了非洲网站的第三方依赖情况。研究动机包括非洲DDoS攻击的增加、第三方服务的日益普及以及非洲用户和企业较低的网络安全准备程度。
我们关注非洲中心的网站,包括在非洲受欢迎的网站(非洲访问网站)、主要针对非洲用户的网站(非洲主导网站)、在非洲托管的网站(非洲托管网站)和在非洲运营的网站(非洲运营网站),并从四个非洲测量点(尼日利亚、卢旺达、南非和肯尼亚)进行调查。具体研究问题如下:
-
第三方依赖的普遍性
:非洲访问、托管、运营和主导的网站中,第三方依赖的普遍程度如何?
-
第三方依赖的集中程度
:这些网站使用的第三方服务提供商的依赖集中程度如何?
-
与美国的比较
:非洲网站对第三方的依赖与美国网站相比如何?
研究结果显示:
- 93%的非洲访问网站严重依赖第三方DNS、CDN或CA,相比之下,美国访问网站的严重依赖程度最多低25%。
- 97%的非洲主导网站、96%的非洲托管网站和95%的非洲运营网站严重依赖第三方DNS、CDN或CA提供商。
- 第三方服务的使用高度集中,仅3家提供商就能影响60%的非洲中心网站。
这些发现对非洲互联网的当前使用和未来发展具有重要意义,能为利益相关者和运营商提供更有针对性的见解,帮助他们避免使用第三方依赖时的常见陷阱,了解攻击面,并优化防御策略。
4. 机器学习指标在域名分类中的应用
在域名分类中,我们使用了一些机器学习指标来评估分类的准确性和质量。以下是相关指标的介绍:
-
准确率(Accuracy)
:是所有样本中正确预测标签的比例,计算公式为:$Accuracy = \frac{TP + TN}{TP + TN + FP + FN}$
-
假阳性率(FPR)
:计算公式为:$FPR = \frac{FP}{FP + TN}$
-
假阴性率(FNR)
:计算公式为:$FNR = \frac{FN}{FN + TP}$
-
马修斯相关系数(MCC)
:用于评估二元分类的质量,值在 -1 到 +1 之间,+1 表示完美预测,0 相当于随机结果,-1 表示所有样本都被错误分类。计算公式为:$MCC = \frac{TP × TN - FP × FN}{\sqrt{(TP + FP)(TP + FN)(TN + FP)(TN + FN)}}$
其中,TN、TP、FN和FP分别表示真阴性、真阳性、假阴性和假阳性的数量。我们将被入侵的域名视为阳性,恶意注册的域名视为阴性。与准确率相比,MCC为不平衡数据集(如我们的数据集)提供了更现实的指标。
通过这些指标,我们可以更准确地评估域名分类系统的性能,为进一步优化系统提供依据。
综上所述,网络安全领域在域名分类和非洲网站第三方依赖方面面临着诸多挑战和机遇。通过深入研究和合理应用相关技术,我们能够更好地保障互联网的安全和稳定运行。
网络安全与域名分类:非洲网站第三方依赖及域名风险分析
5. 非洲网站第三方依赖的影响与应对策略
非洲网站对第三方服务的高度依赖带来了一系列影响,同时也需要相应的应对策略。
5.1 影响
- 可用性风险 :由于大部分非洲网站依赖全球服务提供商,这些提供商一旦出现故障或遭受攻击,如Afrihost的停机事件,会导致大量非洲网站无法正常访问,影响用户体验和企业运营。
- 安全风险 :过度依赖第三方增加了网站遭受攻击的可能性。例如,CA的错误操作可能导致证书问题,影响网站的安全性;DNS遭受DDoS攻击会使网站无法正常解析,造成服务中断。
- 本地产业发展受限 :相对稀缺的本地服务提供商使得网站运营者更多地依赖全球服务提供商,这不利于本地服务行业的发展,难以形成本地的技术和服务生态。
5.2 应对策略
为了应对这些影响,我们可以采取以下策略:
-
多元化服务提供商
:网站运营者应尽量选择多个不同的服务提供商,避免过度依赖单一提供商。例如,同时使用本地和全球的DNS、CDN和CA服务,以降低因单一提供商故障带来的风险。
-
提高本地服务能力
:政府和企业应加大对本地服务提供商的支持力度,促进本地服务行业的发展。通过投资和技术扶持,提高本地服务提供商的技术水平和服务质量,使其能够满足非洲网站的需求。
-
加强安全防护
:网站运营者应加强自身的安全防护措施,如实施多因素认证、定期进行安全审计等。同时,与服务提供商密切合作,共同应对安全威胁。
以下是应对策略的表格总结:
| 应对策略 | 具体措施 |
| — | — |
| 多元化服务提供商 | 选择多个不同的DNS、CDN和CA服务提供商,包括本地和全球的 |
| 提高本地服务能力 | 政府和企业加大对本地服务提供商的投资和技术扶持 |
| 加强安全防护 | 实施多因素认证、定期进行安全审计,与服务提供商密切合作 |
6. 域名分类系统的未来发展方向
域名分类系统在网络安全中发挥着重要作用,未来可以从以下几个方向进行发展:
6.1 持续优化模型
随着网络攻击技术的不断发展,域名分类系统需要不断优化模型以提高分类的准确性。可以通过收集更多的数据,特别是新出现的恶意域名数据,来训练模型,使其能够更好地识别各种类型的恶意域名。
6.2 结合更多特征
除了现有的特征外,可以结合更多的特征来提高分类的准确性。例如,考虑域名的使用行为特征,如访问频率、访问时间等;还可以结合社交网络信息,分析域名在社交网络中的传播情况。
6.3 实现实时监测
实时监测域名的变化对于及时发现恶意域名至关重要。未来的域名分类系统应具备实时监测功能,能够及时发现域名的异常行为,并进行分类和预警。
以下是域名分类系统未来发展方向的流程图:
graph LR
A[持续优化模型] --> B[结合更多特征]
B --> C[实现实时监测]
7. 总结
本文主要探讨了网络安全领域的两个重要方面:钓鱼网站中的TLS证书使用情况、域名分类系统的设计与应用以及非洲网站的第三方依赖情况。
在钓鱼网站中,TLS证书被恶意利用来增加网站的合法性,但我们需要区分被入侵和恶意注册的域名来准确分析其使用情况。域名分类系统的设计和应用对于准确评估域名的性质至关重要,通过精心设计和处理缺失值等步骤,可以提高分类的准确性。非洲网站对第三方服务的高度依赖带来了可用性和安全风险,需要采取多元化服务提供商、提高本地服务能力和加强安全防护等应对策略。同时,域名分类系统未来可以朝着持续优化模型、结合更多特征和实现实时监测的方向发展。
通过对这些方面的研究和分析,我们能够更好地应对网络安全挑战,保障互联网的安全和稳定运行。希望本文的内容能够为网络安全领域的相关人员提供有价值的参考和启示。
扫一扫
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
