A Challenge on-the-Fly Preventing an Access to a Malicious Site Considering a DV Certificate in a SSL/TLS Communication

IPSJ

Bibliographic Information

Other Title
  • SSL/TLSでのDV証明書の利用に着目した未知の悪性サイトへのアクセス防止

Description

ウェブページなどのサイトで AOSSL (Always-On SSL,常時 HTTPS 化) が普及し,フィッシングやマルウェア感染を招く悪性サイトの通信の暗号化も増加している.そこで,我々は,常時 HTTPS 化された悪性サイトが DV (Domain Validation) 証明書をしばしば採用する点に着目し,TLS/SSL ハンドシェイクにおける未知の悪性サイトへのアクセス防止を実ネットワークの次世代ファイアウォール上で実装した.悪性サイトの判定にあたっては,DV 証明書を利用している良性サイトも存在するため,DV 証明書だけでなく,DDNS (Dynamic DNS) や悪性の可能性が高い TLD (Top-Level Domain) の利用を元に悪性サイトを判定した.一方,誤判定でも可用性の劣化を最小限に抑えるため,悪性サイトと判定されても,警告ページへリダイレクトし利用者が閲覧継続ボタンを押下することで閲覧可能とした.そして,これらをパロアルトネットワークス社の次世代ファイアウォールの設定変更のみで実装し,運用性も保ちつつ,未知の悪性サイトへのアクセス防止を試みた.その結果,49.1% の精度で TLD によって悪性サイトへのアクセスを防止できた一方,DDNS による悪性判定は誤判定のみであったことが明かになった.

Not only many benign sites but also malicious sites for phishing or malware are now implementing Always-On SSL (AOSSL). We have, therefore, implemented an on-the-fly access prevention to a unknwon malicious site on a next-generation firewall running in the wild, considering that many AOSSLed malicious sites adopt Domain-Validated (DV) certificates. We judged a malicious site by not only DV certificate but also dynamic DNS (DDNS) and malicious Top-Level Domain (TLD). In order to reduce usability regressions as much as possible, a user was redirected to a warning page, and could access to the site user confirmed by cliking the continue button. We tried to implement these by configuration chages only on the next-generation firewall developved by Palo Alto Networks, Inc., and keep operability and an access prevention. TLD based detection could detect malicious sites by 49.1% accuracy while no malicious sites was detected by DDNS.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top