基于文件的网页恶意代码检测系统设计.pptVIP

华中科技大学计算机学院 华中科技大学网络与计算中心 基于被动流量监控的恶意网站检测 魏为 李芝堂 涂浩 华中科技大学计算机学院 华中科技大学网络与计算中心 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 大纲 系统介绍 模块介绍 黑名单生成 实验环境及结果 总结 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 1.系统介绍 随着Internet技术的广泛应用，越来越多的信息资源通过WWW服务共享。目前网页浏览仍然是互联网上使用率最高的网络服务之一，但因此也成为了恶意代码利用的有效传播途径。网页恶意代码逐渐成为危害面最广泛、传播效果最佳的恶意代码形式之一，对信息安全构成了严重的威胁。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 1.系统介绍 该系统的目的是及时发现存在的恶意网站黑名单，在攻击发生前，阻断用户和恶意站点之间的连接，从而达到保护用户的目的。本系统部署在边界出口。能够捕获所有经过出口的镜像流量。 系统架构和目标 通过对出口流量的镜像流量进行分析，取得所有的http GET请求，解析出请求的网址，查看是否在黑名单中，并通过控制模块断开恶意的连接。 该系统要达到3个主要目标： 安全性。 时效性。 可扩展性。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 大纲 系统介绍 模块介绍 黑名单生成 实验环境及结果 总结 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 采集模块 Lipcap抓包和过滤非http流量 平均每分钟78 500条 在实际采集时丢包率低于0.01%。 可以采用zero-copy驱动来提高网卡极限处理能力 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 入库模块 把从每台机器采集到的流量中http get请求信息存到文件，再由后台程序转存到数据库。 记录的信息包括收包时间、源IP地址、目的IP地址、源端口、目的端口、Http中的Host和Path等。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 控制模块 当用户请求网址在黑名单库中，中断用户和服务器的连接。 大致过程： 根据收到的包的源IP、目的IP、sequence、ack sequence，计算出下一个包使用的sequence和ack sequence，通过使用原始套接字伪造来自用户的rst包发送给服务器断开连接，伪造来自服务器的包含警告信息的响应包发送给用户。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 后台分析模块 从用户访问日志提取和生成黑名单 定时同步黑名单到控制模块。 如何快速有效的生成黑名单？ 2009-12-07 华中科技大学计算机学院 华中科技大学网络与计算中心 大纲 系统介绍 系统模块 黑名单生成 实验环境及结果 总结 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 黑名单生成 通过查找流量中的可执行文件并判断其是否为恶意软件，得到最终的恶意网址。 通过找到的下载恶意软件的网址，后台分析模块再到数据库中挖掘与这次访问相关的登陆站点和跳转站点，扩充恶意网址的范围。 通过从已经发生的访问中去找恶意网址。由于教育网内的用户关注点相似，所以，已经发生过的访问很有可能再次发生。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 捕获可执行文件 为了找到恶意软件，必须先把流量中可疑的下载可执行文件的请求选取出来，再下载到本地来进一步判断是否为恶意软件。 大部分下载的恶意网址不以exe结尾。 头两个字节的值为MZ和0x3c偏移处的值为PE。 90%以上的恶意代码大小在1 M以下。 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 检查pe文件 在得到完整的pe文件后，如何判断是否为恶意文件 使用VirusTotal 利用多种反病毒引擎来扫描，综合结果 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 大纲 系统介绍 模块介绍 黑名单生成 实验环境及结果 总结 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 5.实验环境及结果 恶意文件的大小分布 2010-10-22 华中科技大学计算机学院 华中科技大学网络与计算中心 5.实验环境及结果 恶意文件类型分布 201