原创力文档基于贝叶斯理论的网页木马检测技术分析-analysis of webpage trojan detection technology based on bayesian theory.docxVIP
- 3
- 0
- 约3.75万字
- 约 48页
- 2018-05-18 发布于上海
- 举报
基于贝叶斯理论的网页木马检测技术分析-analysis of webpage trojan detection technology based on bayesian theory
1 概述1.1 课题来源伴随互联网的飞速发展,计算机应用已经渗透到社会的各个领域,互联网给我们 提供了很多服务,给生活和工作带来了便利,但是信息安全也成为了一个很重要的问 题。在信息安全领域当中,由于浏览器使用的广泛,黑客利用浏览器或者第三方软件 的漏洞,上传一些可以直接对站点文件进行修改的脚本木马,然后通过 web 形式去访 问那个脚本木马来实现对当前的网站文件进行修改,通常是 frame 或者 script,也存在 一些其它挂马方式比如病毒下载、伪装挂马、CSS 挂马等。2009 年上半年[1],黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网 页挂马上,如:Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时,针对 漏洞出现的程序具有代码变形简单、时效性高的特点,并且浏览器、第三方软件以及 各种网站都存在安全缺陷,使得用户很容易遭到攻击。目前很多商业模式都是基于互 联网发展起来的,但是由于这些商业模式容易遭到用户信息窃取的危险,因此用户在 获得互联网带来的便利的同时,也对互联网的安全产生了怀疑,网页木马的存在让这 些商业模式的发展受到了限制。由此可见,网页木马的检测研究具有重要的应用价值。1.2 国内外研究现状1.2.1网页木马的定义 网页木马是近年来黑客使用的主要攻击手段之一,它表面上伪装成普通的网页文件或是将恶意的代码直接嵌入到正常的网页文件中,嵌入在这个网页中的代码巧妙地利用了浏览器以及第三方软件的漏洞,让浏览器在后台自动、隐蔽地下载这些放置在 网络服务端的木马程序,并运行这个木马程序,从而达到破坏、窃取计算机信息的目 的[2]。当计算机用户访问这些含有网页木马程序的网站时,木马程序被悄悄地下载在本地计算机中,这些木马运行后获得系统权限,利用系统资源执行破坏操作,比如修改浏览器主页,关闭系统的很多功能,窃取计算机使用者隐私等等。Niels Provos 等[3]提 到,如果一个网页程序在用户不知情或者不同意的情况下自动安装软件,它将会认为 是恶意的。目前业界为了检测网页木马,主要采用的是传统的反病毒引擎扫描方法,但是网 页木马不同于传统的病毒,网页木马是一种新型的病毒,它具有变形简单的特点,采 用多样化混淆机制,动态创建内嵌链接元素,并对链接的内容进行编码,且网页木马 必须依托于浏览器,实质是利用漏洞向用户传播木马,充当一个“木马下载器”的角 色。因此传统的反病毒引擎检测方法在检测网页木马时存在很大的缺陷,网页木马的 检测必须采用新的检测方法。为了更好地检测网页木马,研究人员提出了基于客户端蜜罐技术的检测方法。客 户端蜜罐与传统的蜜罐不同,它是针对客户端软件可能存在的漏洞,主动寻找可能的 攻击。客户端蜜罐在与服务器在交互过程中时刻检测系统的变化,引入各种检测方法 来判定是否有恶意攻击行为的发生,但是需要花大量的时间,在分析性能方面也难有 提升[4]。由于网页木马的混淆机制本质上是利用了浏览器对脚本语言的解释执行功能, 所以 PHoneyC 提出了一种新的网页木马动态检测方法来对抗混淆以脚本解释引擎为核 心进行网页脚本的动态解释执行以此还原出网页木马在混淆处理之前的真实形态并 进一步结合,在此基础上的反病毒引擎扫描进行检测除此之外,PHoneyC 还在脚本执 行上下文中模拟出一些常见的漏洞插件以捕获对这些漏洞的攻击行为,但是关注的重 点在于混淆的对抗其仅对待检测的网页文档进行单一页面动态检测并未关注利用内 嵌链接进行的网页挂马因此无法做到全面的网页木马检测。北大的张慧琳等提出的基 于网页动态视图的网页木马检测方法[5]主要是重构网页动态视图,检测方法基于客户端 蜜罐技术,采用传统的静态代码检测技术,并模拟存在漏洞的插件被攻击。蜜罐被广泛地利用在网页木马的检测中,但是网页木马检测的主要技术主要是传 统的病毒检测方法,最常见的检测技术就是特征码技术,静态代码检测,动态行为检 测。1.2.2特征码技术随着互联网和反网页木马技术的发展,各种新的网页挂马技术不断产生,新的挂 马技术更隐蔽,传播速度更快,给计算机安全带来了不可估量的威胁。为了对抗这种 威胁,网页木马的检测技术也有了很大的发展。检测网站是否被移植网页木马的传统方法是创建病毒特征库,提取病毒特征码, 进行特征匹配。由于早期的网页挂马方式比较简单,特征码技术被认为最简单,开销 方式的方法。采用特征码技术的检测网页木马软件在进行扫描时,将所有已知病毒的 病毒码加以剖析,找出这些病毒各自的代码特征,也即可唯一标识此病毒的字符串, 为了保证判断有效的保护[6]。特征码检测法的优点是准确率高、可识别病毒的名称、误报率低。然而,随着病 毒种类和数目的增加,病毒库变得越来越庞大,这将给特征码匹配带来了很大的困难, 再者,网页木马变形简单,修改容易,有效特征难
您可能关注的文档
- 基于web的低压断路器远程控制系统的分析-analysis of remote control system of low voltage circuit breaker based on web.docx
- 基于web的xml中文检索模型的分析与实现-analysis and implementation of xml chinese retrieval model based on web.docx
- 基于web的多领域物理系统拖放式建模分析与实现-analysis and implementation of drag-and-drop modeling of multi-domain physical system based on web.docx
- 基于web的高并发系统的分析和实现-analysis and implementation of high concurrency system based on web.docx
- 基于web的高校试卷研究系统的设计与开发-design and development of web - based research system for college examination papers.docx
- 基于web的风电场可视化监测技术分析-analysis of visualization monitoring technology of wind farm based on web.docx
- 基于web的个人商业保险保单管理系统的设计与分析-design and analysis of personal commercial insurance policy management system based on web.docx
- 基于web的高等级公路景观评价系统分析-analysis of high-grade highway landscape evaluation system based on web.docx
- 基于web的灌区信息化管理系统的分析与开发-analysis and development of irrigation district information management system based on web.docx
- 基于web的工资发放系统的设计与研究-design and research of salary payment system based on web.docx
- GB/T 42818.2-2026认知无障碍 第2部分:报告.pdf
- 中国国家标准 GB/T 47116-2026地下采矿机械 工作面移动式采掘机械 采煤机和犁式系统的安全要求.pdf
- 《GB/T 47116-2026地下采矿机械 工作面移动式采掘机械 采煤机和犁式系统的安全要求》.pdf
- 中国国家标准 GB/T 42818.2-2026认知无障碍 第2部分:报告.pdf
- 《GB/T 42818.2-2026认知无障碍 第2部分:报告》.pdf
- 《GB/T 27664.1-2026无损检测仪器 超声检测设备的性能与检验 第1部分:仪器》.pdf
- 中国国家标准 GB/T 27664.1-2026无损检测仪器 超声检测设备的性能与检验 第1部分:仪器.pdf
- GB/T 27664.1-2026无损检测仪器 超声检测设备的性能与检验 第1部分:仪器.pdf
- GB/T 45305.5-2026声学 建筑构件隔声的实验室测量 第5部分:测试设施和设备的要求.pdf
- 中国国家标准 GB/T 45305.5-2026声学 建筑构件隔声的实验室测量 第5部分:测试设施和设备的要求.pdf
文档评论(0)