基于行為分析的網(wǎng)頁木馬檢測技術(shù)研究.pdf

1、隨著近年來網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，與Internet有關(guān)的安全事件愈來愈多，安全問題日益突出。目前，網(wǎng)頁木馬成為惡意軟件傳播中最常見的形式之一，網(wǎng)頁木馬具有傳播速度快、變種形式多樣、破壞力強等特點，給普通網(wǎng)絡(luò)用戶帶來嚴(yán)重的安全威脅，所以高效、準(zhǔn)確的網(wǎng)頁木馬檢測研究是很必要的。
　　目前防御網(wǎng)頁木馬通常采用以下兩種方法，基于龐大的“木馬網(wǎng)址庫”建立網(wǎng)頁木馬防火墻，或者依賴于各種網(wǎng)絡(luò)安全產(chǎn)品的主動防御系統(tǒng)。但兩種方法在檢測網(wǎng)頁木馬時均存在

2、缺陷：前者要根據(jù)已檢測到的結(jié)果不斷更新“網(wǎng)頁木馬地址庫”，但是網(wǎng)頁木馬地址數(shù)量非常巨大而且有效期可能很短，此方法不僅缺乏時效性而且非常浪費資源；后者雖然借助主動防御系統(tǒng)可以針對網(wǎng)頁木馬做出主動檢測，但是面對變種形式多樣、隱藏技術(shù)特殊的網(wǎng)頁木馬缺乏準(zhǔn)確性和針對性，而且由于網(wǎng)頁木馬獨特的傳播運行原理，主動防御系統(tǒng)的有效檢測往往發(fā)生在網(wǎng)頁木馬安裝運行之后，缺乏時效性。
　　本文提出基于行為特征分析的網(wǎng)頁木馬檢測方案，在研究網(wǎng)頁木馬行為特

3、征的基礎(chǔ)上，采用相應(yīng)的技術(shù)方案實現(xiàn)網(wǎng)頁木馬檢測。本文首先在研究當(dāng)前網(wǎng)頁木馬應(yīng)用技術(shù)發(fā)展特點的基礎(chǔ)上，采集主流的各類型網(wǎng)頁木馬構(gòu)建試驗樣本庫，然后利用各種軟件工具結(jié)合適當(dāng)方法采集其代碼行為和運行行為的特征，分析研究檢測技術(shù)的基本原理。在此基礎(chǔ)上本文首先基于進(jìn)程監(jiān)視技術(shù)設(shè)計檢測方案，然后通過分析其設(shè)計和檢測上的優(yōu)缺點，結(jié)合內(nèi)核模式下的API函數(shù)調(diào)用攔截技術(shù)提出改進(jìn)方案，并在此基礎(chǔ)上設(shè)計和實現(xiàn)了網(wǎng)頁木馬檢測系統(tǒng)。此系統(tǒng)通過攔截瀏覽器激活網(wǎng)頁木