你最大的安全威胁并非 恶意软件 YouTube 热点 相信 .
这是你的学生试图绕过你的过滤机制。.
现在会生成代理绕过 7倍以上 在K-12网络中,恶意软件被拦截的活动比恶意软件更多—— 这为攻击者提供了所需的掩护。.
您的安全态势是否能够应对您面临的威胁形势?
真实世界的数据显示,学生们经常会试探、绕过和重新部署过滤系统。.
绕行交通量已经超过了其他所有威胁类别。.
用于测试网络边界的扫描器和网络实用工具。.
同样的威胁会以新的地址重新部署,以逃避检测。.
针对每条攻击路径的多层绕过防御
绕过尝试并非依赖单一方法,防护措施也不应如此。这种方法减少了对任何单一控制措施的依赖,从而堵住了攻击者和学生可能利用的漏洞。.
实时代理检测与拦截
当学生访问代理绕过网站时,Lightspeed Filter™ 会通过分析浏览器中的执行情况来检测并阻止该网站,分析内容包括隧道技术、JavaScript 行为以及 Ultraviolet、Scramjet 和 Rammerhead 等代理库。这些信号会被实时评估,一旦达到阈值就会触发阻止,并且会在会话期间重新扫描以捕获绕过行为,从而阻止 URL 和文本过滤无法拦截的绕过尝试。.
工作原理
01
检查
当用户访问页面时,系统会实时分析页面负载,评估 DOM 结构、网络活动和 JavaScript 执行情况。它可以检测代理框架、隧道技术以及隐藏行为,包括 Ultraviolet 和 Rammerhead 等工具。.
02
得分
每个信号都会对加权得分产生贡献。高置信度指标会立即触发检测,而低置信度信号则会累积,直到达到阈值。.
03
持续扫描
页面会在整个会话期间受到监控。如果行为发生变化或执行新的脚本,信号会实时重新评分,以捕获延迟或动态的规避技术。.
04
反馈
一旦达到阈值,系统将根据策略阻止或记录活动。所有检测结果都会反馈到模型中,已确认的网站将被重新分类,以加强整个平台的保护。.
常见的绕过方法及其阻止方法
学生们使用各种方法绕过网络过滤,从代理工具到浏览器漏洞利用,不一而足。以下是这些方法的具体表现形式以及 Lightspeed 如何阻止它们。.
| 旁路问题 | 它看起来像什么 | 光速是如何解决这个问题的 |
|---|---|---|
| 游戏聚合器 | 这些网站拥有平铺式游戏库、嵌入式启动器,并提供对游戏和应用程序的无限制访问——基于 Ruffle、Nebula 和 Interstellar 等框架构建,以及越来越多的自定义构建。 | 通过设备端扫描检测聚合器模式和已知框架库,并结合平铺布局和 HTML5 Canvas 行为启发式方法,实时阻止访问。 |
| 云托管代理(AWS、Azure、GCP) | 托管在受信任基础设施(例如 s3.amazonaws.com/bullmath/index.html 或 s3.amazonaws.com/vcsamath/index.html)下的代理页面,由于其父主机继承了受信任的信誉,因此经常被错误地归类为教育类页面。 | 检查设备上的 JavaScript 变量、库签名和页面行为,以标记代理活动,而不会阻止父主机。 |
| Google Sites 和 Google Docs | 学生创建的 Google Sites 和 Docs 中包含代理链接、嵌入式游戏或嵌入式视频——这些内容在过滤器看来仅作为普通的 Google 资源。 | 检查渲染后的页面内容和嵌入元素(canvas、iframe、第三方资源),以检测受信任的 Google 域内的绕过活动。 |
| 人工智能生成的虚假"教育"网站 | 学生们利用生成式人工智能技术快速生成看似教育类的页面,让它们被归类为教育类页面,然后替换成代理内容或游戏内容——有时这些内容隐藏在键盘快捷键后面,该快捷键可以在安全视图和真实视图之间切换。 | 内容变化时,系统会间歇性地重新扫描页面,将分类视为一种信号,而非最终结论。 |
| 代理框架(开源和付费) | 从 GitHub 下载的 Ultraviolet 和 Scramjet 等开源框架,以及在 Discord 服务器上出售的付费"按需网站"绕过服务(这些服务专门构建自定义页面以规避 Lightspeed 协议),都是常见的选择。 | 即使代理框架库被封装在唯一的 URL 或自定义前端中,也能通过 JavaScript 签名识别其指纹,因为付费服务几乎总是重用相同的底层库。 |
| 顶级域名和隐蔽域名 | 新注册的或鲜为人知的顶级域名被用于托管代理工具或规避分类 | 应用动态分类,并默认屏蔽风险域名或未分类域名。 |
| 外部代理目录 | 收录可用代理和绕过链接的网站、平台和频道——包括专门的非安全搜索网站、域名共享平台(历史上是 Afraid.org 及其后继者)、像 @VCSAOfficial 这样的 YouTube 频道,以及发布可用 URL 和操作指南的 Reddit 子版块帖子。 | 通过 telemetry 检测持续对新出现的代理进行重新分类,并将共享的分类更新反馈到所有客户的保护系统中。 |
| 无扩展程序的 Chrome 会话 | 学生们利用 GitHub SSO 等技巧打开一个不加载扩展程序的 Chrome 窗口。 | 通过云代理路由流量,即使没有扩展程序也能识别代理行为,并强制执行过滤。 |
| 伪装成VPN的恶意软件 | 绕过像 Fern 这样的恶意软件集群,这类集群会在你点击页面上的任何位置时弹出窗口,指向一个伪装成免费 VPN 下载的已知恶意软件网站。 | 实时标记重定向和弹出窗口行为,在恶意软件页面开始下载之前将其拦截。 |
适合您环境的覆盖范围
调整检测设置,使其与您的策略、用户和风险承受能力相匹配。.
始终开启检测
检测涵盖所有类别,允许调整拦截措施,同时不会丢失对绕过尝试的可见性。.
按政策敏感性控制
按策略设置检测灵敏度。选择"放松"正常"或"严格的" 适用于不同的用户群体、年级或教职工。.
已知代理框架的覆盖范围
能够检测出诸如 Ultraviolet、Scramjet 和 Rammerhead 等常用代理工具,无论它们出现在何处。无需依赖域名或 URL 匹配。.
游戏聚合器检测
识别用于访问未屏蔽游戏和应用的网站。使用相同的检测引擎和策略控制,检测 Ruffle、Nebula 和 Interstellar 等库以及常见的聚合器模式。
已批准的工具例外
结合允许列表和本地重新分类来管理已批准的工具,在保持检测的同时,排除受信任的平台进行阻止。.
你的过滤器性能如何?
并非所有过滤器都能捕获相同的威胁。以下是各种方法的比较。.
| 能力 | 光速 | 莱恩维兹 | 德莱道 | 守护者 | 安全 |
|---|---|---|---|---|---|
| Live intelligence:绕过检测 | 全面报道代理 + 游戏聚合器;基于行为 | 部分覆盖仅限代理;仅限文本/内容扫描 | 部分覆盖代理 + 游戏;仅文本/内容扫描 | 部分覆盖仅限代理;仅限文本/内容扫描 | 无保障 |
| 始终开启检测的阻塞灵敏度控制 | 全面报道宽松/正常/严格;检测独立运行 | 无保障 | 无保障 | 无保障 | 无保障 |
| 零日威胁防护 | 全面报道 | 全面报道 | 部分覆盖仅限设备端人工智能 | 全面报道 | 全面报道 |
| 细粒度安全分类 | 全面报道 | 全面报道 | 部分覆盖仅限设备端人工智能 | 部分覆盖粒度较细;对代理进行分类 | 部分覆盖粒度较细;对代理进行分类 |
| ChromeOS 应用和设备保护 | 全面报道 | 部分覆盖仅限网络内使用 | 无保障 | 无保障 | 无保障 |
| 设备端防篡改剂 | 全面报道 | 部分覆盖基于 VPN 的性能影响 | 部分覆盖仅限基于 Chrome 的浏览器 | 全面报道 | 部分覆盖仅支持 SmartPAC 代理;不支持原生代理 |
看看现在哪些东西能通过你的过滤器
将你当前的过滤器和 Lightspeed 进行并排比较,看看你目前错过了哪些旁路活动。.
14天无义务旁路审计
- 检测到的旁路活动与未检测到的旁路活动的并排视图
- 可用于评估覆盖范围缺口的摘要
- 您可以在领导力对话中使用的摘要
我们会联系您安排概念验证。绝无垃圾邮件,绝无压力。.
您的自定义报告
看看现在哪些东西能通过你的过滤器
在您的网络上运行概念验证。我们将向您展示绕过活动在您的环境中具体表现形式,以及您当前的过滤器未能捕获到哪些问题。.
- 无需任何承诺
- 通常情况下,设置完成后一周内即可获得结果。
- 包括与您的客户经理进行一次详细的讲解。
我们会联系您安排概念验证。绝无垃圾邮件,绝无压力。.
看看你的过滤器缺少什么。
大多数过滤器会告诉你它们拦截了哪些流量。你的过滤器则不会告诉你哪些流量漏掉了。Lightspeed POC 可以利用你的数据,让你了解自己网络上的绕过活动。.
| 检测方法 | URL过滤 | 光速 |
|---|---|---|
| 已知的代理域名 | ✓ | ✓ |
| 新生成的代理主机名 | ✗ | ✓ |
| 紫外线/超燃冲压发动机/冲压头 | ✗ | ✓ |
| 会议中途逃避和重新安排路线 | ✗ | ✓ |
| 游戏聚合库 | 部分的 | ✓ |
| 非联网/自带设备 | ✗ | ✓ |
