网页木马语义过滤机理研究.docVIP

网页木马语义过滤机理研究 　　(山东省临沂市师范学院费县分校,山东费县273400) 　　 　　摘 要:在网页木马以各种变形不断攻击互联网用户的现状下,准确高效地判断网页木马并及时阻断,有效防止客户机感染成为防御网页恶意代码研究的焦点。传统的以特征码为主要手段反病毒技术已经逐渐呈现被摒弃的趋势,本设计应用网页标签树和语义分析相结合的方法,在不同模块实现了网页的多层次过滤,有效屏蔽了恶意代码网页。 　　关键字:网页挂马;标签树;语义分析;语义框架;过滤 　　 　　网络的实时性、方便性、快捷性、低成本性使得互联网分布的全球的速度不断加快,用户数量以直线上升。互联网成为人类宝贵的资源,特别是Intemct已经渗透到社会的各个领域,网上的信息逐渐成为人们决策的一部分。与此同时,网络病毒、恶意代码等造成的网络入侵也层出不穷,人类与这些负面影响的因素不停地进行“进攻”和“防守”的斗争。近几年的调查显示在网络安全事件中大约有84%是计算机病毒、蠕虫和木马程序,它们是危害网络安全的首要问题,其次是网络攻击和垃圾邮件。据国家计算机病毒应急处理中心《2008年中国计算机病毒疫情调查技术分析报告》[1],大量的网络犯罪通过“网页挂马”方式来进行攻击,已经占到病毒攻击的50%以上,逐渐成为病毒攻击的主流方式。另据Symantec公司的统计,目前各种流行的网络安全威胁有79%都是通过网页进行攻击或者传播的。SANS和 Sophos最近都把来自浏览器的安全威胁作为首要的安全威胁[2][3]。 　　当前WEB网站恶意代码泛滥并有加剧的趋势,传统的以特征码为主要手段反病毒技术面临很大挑战,急需寻找新的检测病毒的技术。本论文针对WEB恶意代码中的网页木马为研究对象,基于语义分析研究新型检测技术,通过语义分析结合逻辑推理识别出网页木马,弥补当前恶意代码检查技术的不足,该研究内容对当前信息安全有如下意义: 　　(1)传统防护效果越来越差,难防Web威胁,本论文的研究有助于主动防御木马的攻击。 　　(2)本论文基于遍历标签树生成语义框架,能够有效的对付木马的变形,有助于主动防御技术的完善。 　　(3)语义WEB作为下一代WEB技术,同样面临着安全威胁,本论文的研究有助于安全语义WEB的构建。 　　1.特洛伊木马和网页挂马 　　1.1特洛伊木马 　　在计算机上的特洛伊木马[4]是一个通过端口进行通信的客户端/服务器方式的远程控制程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后对目标计算机执行特定的操作。其实质就是通过一段特定的程序(木马程序)来控制另一台计算机,通常包括两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。当木马程序在一台计算机上运行并被控制端连接时,其控制端将享有服务端的大部分操作权限。 　　特洛伊木马特性: 　　(1)通常具有很好的隐蔽性。 　　特洛伊木马程序在系统启动时自动运行,但不会在任务栏中产生任何图标。 　　(2)它具有自动运行性 　　(3)木马程序具有欺骗性通常以“系统服务”的方式欺骗操作系统。 　　(4)具备自动恢复功能 　　(5)能自动打开特别的端口 　　(6)功能的特殊性 　　1.2网页挂马 　　网页挂马[5]是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。这种通过浏览页面方式进行攻击的方法具有较强的隐蔽性,用户难于发现。攻击者在网页中嵌入一段用于自动下载木马程序的恶意代码或脚本,从而实施木马植入的行为。将木马下载到用户本地,并进一步执行(在用户浏览被挂马的网页时进行),当木马获得执行后,就会有更多地木马被下载,进一步被执行,进入一个恶性循环,从而使用户电脑不断遭到攻击和控制。网页挂马的直接目的就是将木马传播出去,它只是一种传播病毒的手段,由于利用的是传播载体是网页,所以称之为“网页挂马”。 　　网页挂马的实现实现过程可以分为五步: 　　(1)探测漏洞 根据探测到的漏洞类型选择网马生成器 　　(2)生成网马 运行木马生成器生成网页木马程序 　　(3)网马配置 实现网页木马加密或加壳处理 　　(4)网页挂马 寻找缺陷网站,获取webshell,将挂马的代码插入 　　(5)浏览网页,伺机执行代码,下载木马运行 　　网马多种多样,形式变化万千,但是其攻击过程相似。攻击者首先探测网络,试图找到漏洞。当找到漏洞后,入侵者试图渗透到并传输攻击代码到系统中,达到攻击目的。其流程用图1描述: 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 图1网马攻击流程图