基于BHO技术的恶意网页行为检测系统的应用研究.pdfVIP

第 29卷 第6期 新乡学院学报 (自然科学版) 2012年 12月 、，_01．29 NO．6 JournalofXinxiangUniversity(NaturalScienceEdition) Dec．2012 基于BHO技术的恶意网页行为检测系统的应用研究 魏 晋 (山西长治医学院 计算机中心，山西 长治 046000) 摘 要：在恶意网页检测技术中引入 BHO技术，构建一个恶意网页行为检测系统．实际测试结果表明，基 于BHO技术的恶意网页行为检测系统具有较高的效率和准确率． 关键词：蜜罐 ；虚拟机 ；网页爬虫；行 为检测 ；交互接 口；恶意网页 中图分类号：TP393．081 文献标志码 ：A 文章编号：1674—3326(20l2)06—0535—03 AppliedResearchonBehaviorDetectionSystem of M aliciousW ebpagesBasedonBHO Technology W EIJin (ComputerCenter，ShanxiChangzhiMedicalCollege，Changzhi046000，China) Abstract：Introducing BHO to maliciouspagesdetection technique，a detective system ofmaliciouspages behaviorisconstructed．Practicaltestresultsindicatethatthesystem isofhigheffi ciencyandaccuracy． Keywords：honeypot；virtualmachine；spiders；behaviordetection；interactiveinterface；maliciouswebpage 0 引言 随着计算机网络技术的不断发展 ，通过网页攻击计算机和网络的事件逐渐增加 ，攻击的方法和手段也 向着多样化的方向发展．如网页劫持、浏览器篡改、后台隐蔽下载恶意文件、网页木马等．因为攻击是通过 Web通信、攻击过程是后台隐蔽的，所 以，这就对检测和预防网页攻击提出了更高要求．目前，检测恶意 网页的方法有 ：1)采用蜜罐或虚拟机与网页爬虫相结合的方法 ；2)采用启发式检测方法 ，在检测调用 网页 中的函数的同时，还要分析网页源码特征码 的匹配．构建一个高效、实现简单 、低误报率 、能够一次检测 多个 网址 的恶意网页行为检测系统 ，具有重要 的实际意义． 1 BHO技术概述与运行过程 BHO(BrowserHelperObjects，浏览器辅助对象)是微软公司推 出的、对第三方程序员开放的、浏览器交 互接 口的业界标准．程序员可通过编写程序链接浏览器 的 “交互接 口”，链接接 口后可控制浏览器界面和行 为 ，不仅可 以检测浏览器的前进 、后退 、打开新窗 口、弹出窗 口和关闭浏览器等操作 ，而且可在 BHO中通 过加载 APIHOOK程序捕获浏览器行为 ，BHO还具有同时分析多个网址的能力，因此 ，采用 BHO技术检 测恶意网页具有较高的效率和准确率 ¨1．其运行过程如下 ：1)启动浏览器，首先寻找注册表中的与 CLSID 对应的BHO插件 ，注册表路径为 ： “SOFTWARE＼Microsof~Windows＼CurrentVersion＼Explorer＼BrowerHelper 0bjets＼”；在这个路径下浏览器会查询每一个 CLSID项 目，并为每一个 CLSID建立一个进程实例 ，这些实 例可像本地组件一样在浏览器中运行 ；2)浏览器根据查找到的 CLSID 项 目，创建 BHO对象，并查找 IObjectWithSite接 口，建立一个私有的、基于COM 的通信通道 ；IObjectWithSite提供 了SetSite0和GetSite0 方法；3)浏览器调用、执行一次SetSit0方法，其作用是初始化BHO对象；4)通过接 口IobjectWithSite浏览 器向 BHO传递 IUnknown接 口，通过存储