基于行為分析的網(wǎng)頁木馬檢測(cè)技術(shù)研究.pdf

1、隨著近年來網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，與Internet有關(guān)的安全事件愈來愈多，安全問題日益突出。目前，網(wǎng)頁木馬成為惡意軟件傳播中最常見的形式之一，網(wǎng)頁木馬具有傳播速度快、變種形式多樣、破壞力強(qiáng)等特點(diǎn)，給普通網(wǎng)絡(luò)用戶帶來嚴(yán)重的安全威脅，所以高效、準(zhǔn)確的網(wǎng)頁木馬檢測(cè)研究是很必要的。
　　目前防御網(wǎng)頁木馬通常采用以下兩種方法，基于龐大的“木馬網(wǎng)址庫”建立網(wǎng)頁木馬防火墻，或者依賴于各種網(wǎng)絡(luò)安全產(chǎn)品的主動(dòng)防御系統(tǒng)。但兩種方法在檢測(cè)網(wǎng)頁木馬時(shí)均存在

2、缺陷：前者要根據(jù)已檢測(cè)到的結(jié)果不斷更新“網(wǎng)頁木馬地址庫”，但是網(wǎng)頁木馬地址數(shù)量非常巨大而且有效期可能很短，此方法不僅缺乏時(shí)效性而且非常浪費(fèi)資源；后者雖然借助主動(dòng)防御系統(tǒng)可以針對(duì)網(wǎng)頁木馬做出主動(dòng)檢測(cè)，但是面對(duì)變種形式多樣、隱藏技術(shù)特殊的網(wǎng)頁木馬缺乏準(zhǔn)確性和針對(duì)性，而且由于網(wǎng)頁木馬獨(dú)特的傳播運(yùn)行原理，主動(dòng)防御系統(tǒng)的有效檢測(cè)往往發(fā)生在網(wǎng)頁木馬安裝運(yùn)行之后，缺乏時(shí)效性。
　　本文提出基于行為特征分析的網(wǎng)頁木馬檢測(cè)方案，在研究網(wǎng)頁木馬行為特

3、征的基礎(chǔ)上，采用相應(yīng)的技術(shù)方案實(shí)現(xiàn)網(wǎng)頁木馬檢測(cè)。本文首先在研究當(dāng)前網(wǎng)頁木馬應(yīng)用技術(shù)發(fā)展特點(diǎn)的基礎(chǔ)上，采集主流的各類型網(wǎng)頁木馬構(gòu)建試驗(yàn)樣本庫，然后利用各種軟件工具結(jié)合適當(dāng)方法采集其代碼行為和運(yùn)行行為的特征，分析研究檢測(cè)技術(shù)的基本原理。在此基礎(chǔ)上本文首先基于進(jìn)程監(jiān)視技術(shù)設(shè)計(jì)檢測(cè)方案，然后通過分析其設(shè)計(jì)和檢測(cè)上的優(yōu)缺點(diǎn)，結(jié)合內(nèi)核模式下的API函數(shù)調(diào)用攔截技術(shù)提出改進(jìn)方案，并在此基礎(chǔ)上設(shè)計(jì)和實(shí)現(xiàn)了網(wǎng)頁木馬檢測(cè)系統(tǒng)。此系統(tǒng)通過攔截瀏覽器激活網(wǎng)頁木