Web应用型恶意代码机理与检测技术分析.docVIP

Web应用型恶意代码机理与检测技术分析 　　摘要：Web应用型恶意代码对网络环境造成了极大的安全威胁，针对该类恶意代码种类繁杂、检测防御困难等问题，对其攻击原理进行了分类描述；并以静态、动态检测方法为基础，先后分析了静态特征码和动态行为两种常用Web恶意代码检测技术的检测机制，指出了两种技术的优缺点；最后对动静结合检测技术的研究方向进行了展望。 　　关键词：Web恶意代码 攻击原理 静态检测 动态检测 　　中图分类号：TP309.5 文献标识码：A 文章编号：1007-9416（2016）12-0218-02 　　1 Web恶意代码的威胁现状 　　Web应用作为一种常见的网络应用方式被广泛使用，而针对Web应用的恶意代码问题对互联网的安全构成了严重威胁。根据2016年1月发布的《2015年度互联网安全报告》，2015年新发现的恶意代码数为1.45亿个，较2014年增加了5%；从恶意代码类型分析，前十位的如广告推广类木马、恶意下载器、间谍程序等均与Web应用相关。360互联网安全中心在2015年12月公布的《2015年度中国网站安全报告》数据中指出，其网站安全检测平台2015年共扫描各类网站231.2万个，扫出存在漏洞的网站101.5万个，占比为43.9%，较2014年增长了64.5%；从拦截漏洞攻击次数最多的漏洞类型来看，大部分仍是针对Web应用。 　　以传播恶意代码为目的的Web恶意链接遍布网络，用户访问这些恶意链接时，主机被恶意代码感染。攻击者利用这些恶意代码盗取用户主机私密信息，如账号、密码、网银信息等；此外，攻击者还会利用大量受感染的主机发起分布式拒绝服务攻击。以上行为导致了严重的安全后果，因此，实现对Web应用恶意代码的快速分析检测，对于保护互联网安全具有重要意义。而攻击者常变换代码传播、攻击的方法以应对现有的防火墙和入侵检测技术，给恶意代码的检测防御带来困难。 　　2 Web恶意代码的攻击原理 　　恶意代码又被称作恶意软件，主要是指在未经系统使用者授权的情况下运行，以破坏系统可用性、窃取系统信息为目的的计算机程序或代码，主要的存在形式如病毒、木马、蠕虫、后门等[1]。而针对Web应用的恶意代码是恶意代码家族的一种特殊表现形式，该类恶意代码存在于Web应用中，当用户通过网络访问这些Web应用时，恶意代码被下载到客户端执行，以完成攻击者的入侵目的。由以上定?x可知，在一次完整的Web恶意代码传播过程中，涉及三个关键角色：包含恶意代码的Web站点、用户、攻击者；以这三个角色出发分析Web恶意代码的攻击原理。 　　2.1 基于社会工程学的攻击方式 　　攻击者借助社会工程学原理[2]，利用Web用户好奇、贪心等人性弱点，诱骗用户下载并安装恶意代码软件，以达到入侵目的。例如攻击者在Web站点中添加某些免费的热门软件链接，此链接的目标是包含恶意代码的文件，用户出于需要下载并安装了该链接目标文件，攻击者轻而易举的完成了入侵过程。社会工程学攻击的另一种典型方式是使用钓鱼网站，攻击者通过链接诱骗用户访问与真实网站相似度极高的钓鱼网站，以窃取用户机密信息或自动安装恶意代码软件等。基于社会工程学的攻击方式最典型的特点是利用用户的认知偏差，而非利用系统本身漏洞完成攻击过程。 　　2.2 基于路过式下载的攻击方式 　　路过式下载国外称为Drive-by download[3]，在典型的路过式下载的攻击方式中，攻击者针对用户浏览器或系统漏洞，将包含恶意代码的脚本写入Web站点中，当用户访问包含恶意代码的网页时，会在不知情的情况下自动下载并安装恶意代码软件，从而完成攻击者的入侵目的。一次完整的路过式下载攻击可分为三个阶段。 　　2.2.1 攻击者植入恶意代码 　　攻击者首先通过Web服务器漏洞将准备好的恶意代码植入到具有较高访问量的Web站点页面中。被植入恶意代码的主要功能是通过iframe、网页重定向等技术将用户自动引导至恶意软件宿主页，这种自动引导可能是直接引导至宿主页，也可能是经过多次跳转后到达宿主页。 　　2.2.2 扫描并利用用户漏洞 　　当用户访问Web站点中包含恶意代码的页面时，站点服务器将该页面发送到用户浏览器执行，执行过程中恶意代码会扫描当前用户系统可利用漏洞，从而得到所需的系统权限，为下载、安装恶意软件做准备。常见可利用的漏洞有浏览器API型漏洞、浏览器解析型漏洞、内存溢出型漏洞等，攻击者常会针对系统、浏览器、插件版本的多个漏洞编写恶意代码，已实现攻击效果的最大化。 　　2.2.3 下载并安装恶意代码软件 　　攻击者通过用户系统漏洞得到相应的系统权限后，恶意代码的核心部分得以运行，用户被自动引导至宿主站点，在不知情的情况下下载、安装恶意代码软件，恶意代码软件常见的类型有木马、病毒、后门程序、