2015基于会话过程跟踪的挂马攻击检测方法.pptVIP

2012年网络安全年会 基于HTTP会话过程跟踪的网页挂马攻击检测方法 王涛 广东工业大学 中山大学 wangtaosea@ 2012.7.4 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 提纲 研究意义 1 系统框架 2 设计与实现 实验测试 总结与展望 4 3 5 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 原理 网页挂马攻击也称为“浏览即下载”（drive-by download attack） 指攻击者利用网站、客户端浏览器与web应用程序的漏洞(SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day等)，向目标页面或内嵌对象中植入恶意的HTML脚本代码，在用户访问网页的过程中将恶意程序(malware binaries)自动植入用户系统。 主要特点 取回模式（pull-style），不同于病毒蠕虫的推送模式（push-style）。 网页挂马攻击 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 网页挂马攻击 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. A CASE STUDY Level 0: http:// Level 1: script http:// /gg/baidu.js Level 2: script /templets/img/toppic.jpg Level 3: iframe /03/03.htm?2 Level 4: iframe /ganiniang360.html Level 5: iframe /go2.jpg Level 6: script /03/logo.gif Level 7: exe /w/x3.exe 用户在访问初始页面()后，经过7次重定向后被诱导至恶意程序分发站点，自动下载并执行恶意程序。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 互联网安全现状—挂马攻击的危害与泛滥性(Symantec) 每年感染上百万的互联网主机，是僵尸网络bot的主要感染方式 数量排名前五的恶意网站类型 博客、个人网站、商务/经济、 购物、教育 * 网页挂马攻击危害现状 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 基于高交互虚拟蜜罐系统 利用虚拟系统对访问网页后的系统动态行为与状态进行监测 无误检率 互联网大规模网页扫描，检测时效有一定滞后性 基于网页代码特征匹配 将恶意脚本代码视为脚本病毒，通过已知特征码匹配进行判定 恶意脚本变种灵活、采用混淆变形技术与加密技术，难以检测 提出一种新型检测方法 HTTP会话过程跟踪的网页挂马攻击检测方法 相关研究 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 提纲 研究意义 1 系统框架 2 设计与实现 实验测试 总结与展望 4 3 5 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 检测模型结构图 网页挂马攻击检测 网页HTTP会话 从用户请求网页开始，获取网页所有内容与内嵌对象的整个过程 网页HTTP会话重组 源目IP地址 用户浏览时间间隔 HTTP请求包头referer域信息 Evaluation only. Created with Aspose.S