正常网页与挂马网页特征分析SeebugPaper.pptVIP

2012年网络安全年会 基于HTTP会话过程跟踪的网页挂马攻击检测方法 王涛 广东工业大学 中山大学 wangtaosea@ 2012.7.4 * 提纲 研究意义 1 系统框架 2 设计与实现 实验测试 总结与展望 4 3 5 原理 网页挂马攻击也称为“浏览即下载”（drive-by download attack） 指攻击者利用网站、客户端浏览器与web应用程序的漏洞(SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day等)，向目标页面或内嵌对象中植入恶意的HTML脚本代码，在用户访问网页的过程中将恶意程序(malware binaries)自动植入用户系统。 主要特点 取回模式（pull-style），不同于病毒蠕虫的推送模式（push-style）。 网页挂马攻击 网页挂马攻击 A CASE STUDY Level 0: http:// Level 1: script http:// /gg/baidu.js Level 2: script /templets/img/toppic.jpg Level 3: iframe /03/03.htm?2 Level 4: iframe /ganiniang360.html Level 5: iframe /go2.jpg Level 6: script /03/logo.gif Level 7: exe /w/x3