基于SNI的加密流量检测在蜜罐中的研究与应用被引量：2

Research and implementation of SNI-based encrypted traffic detection in honeypot

作　　者：毛伟杰李永忠[1] MAO Wei-jie;LI Yong-zhong(School of Computer Science,Jiangsu University of Science and Technology,Zhenjiang 212003,Jiangsu Province,China)

机构地区：[1]江苏科技大学计算机学院,江苏镇江212003

出　　处：《信息技术》2021年第8期97-101,共5页Information Technology

摘　　要：新型利用DNS加密技术的病毒对蜜罐的安全带来了新的威胁。针对该问题,文中提出了一种基于SNI信息的加密恶意流量检测与防御的方案。首先利用HTTPS握手包中未加密的Server Name Indication信息,以该信息作为域名黑名单判断的要素,以判断蜜罐对外连接是否为恶意连接。一旦发现为恶意SNI,就调用iptables阻断模块阻断对应IP地址的通信,以阻断该次连接。实验结果表明,该方法具有相比RST阻断方式更高的阻断率,并且在并发连接中也拥有不错的阻断效果。A new virus that uses DNS encryption technology brings threat to honeypot’s safety.To resolve this problem,this paper proposes a method for detecting and defending encrypted malicious traffic based on SNI information.Firstly,using the unencrypted Server Name Indication(SNI)in the HTTPS handshake packet as the factor which determines entries in the domain blacklist to determine whether this domain is a malicious domain.Once found it is,then use the blocking module to block it.Experimental results shows that this method has a higher blocking rate than the RST blocking method,and it also has a good blocking effect in concurrent connections.

关键词：DNS加密 HTTPS握手包加密流量检测 iptables阻断 RST阻断

分类号：TP391[自动化与计算机技术—计算机应用技术]

参考文献：

正在载入数据...

二级参考文献：

正在载入数据...

耦合文献：

正在载入数据...

引证文献：

正在载入数据...

二级引证文献：

正在载入数据...

同被引文献：

正在载入数据...

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

基于SNI的加密流量检测在蜜罐中的研究与应用被引量：2

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

高级检索检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

基于SNI的加密流量检测在蜜罐中的研究与应用 被引量：2

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

用户登录

高级检索检索式检索

基于SNI的加密流量检测在蜜罐中的研究与应用被引量：2