基于HTTP会话过程跟踪网页挂马攻击检测方法.ppt

基于HTTP会话过程跟踪网页挂马攻击检测方法.ppt

  1. 1、本文档共27页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2012年网络安全年会 基于HTTP会话过程跟踪的网页挂马攻击检测方法 王涛 广东工业大学 中山大学 wangtaosea@ 2012.7.4 * 提纲 研究意义 1 系统框架 2 设计与实现 实验测试 总结与展望 4 3 5 原理 网页挂马攻击也称为“浏览即下载”(drive-by download attack) 指攻击者利用网站、客户端浏览器与web应用程序的漏洞(SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day等),向目标页面或内嵌对象中植入恶意的HTML脚本代码,在用户访问网页的过程中将恶意程序(malware binaries)自动植入用户系统。 主要特点 取回模式(pull-style),不同于病毒蠕虫的推送模式(push-style)。 网页挂马攻击 网页挂马攻击 A CASE STUDY Level 0: http:// Level 1: script http:// /gg/baidu.js Level 2: script /templets/img/toppic.jpg Level 3: iframe /03/03.htm?2 Level 4: iframe /ganiniang360.html Level 5: iframe /go2.jpg Level 6: script /03/logo.gif Level 7: exe /w/x3.exe 用户在访问初始页面()后,经过7次重定向后被诱导至恶意程序分发站点,自动下载并执行恶意程序。 互联网安全现状—挂马攻击的危害与泛滥性(Symantec) 每年感染上百万的互联网主机,是僵尸网络bot的主要感染方式 数量排名前五的恶意网站类型 博客、个人网站、商务/经济、 购物、教育 * 网页挂马攻击危害现状 基于高交互虚拟蜜罐系统 利用虚拟系统对访问网页后的系统动态行为与状态进行监测 无误检率 互联网大规模网页扫描,检测时效有一定滞后性 基于网页代码特征匹配 将恶意脚本代码视为脚本病毒,通过已知特征码匹配进行判定 恶意脚本变种灵活、采用混淆变形技术与加密技术,难以检测 提出一种新型检测方法 HTTP会话过程跟踪的网页挂马攻击检测方法 相关研究 * 提纲 研究意义 1 系统框架 2 设计与实现 实验测试 总结与展望 4 3 5 检测模型结构图 网页挂马攻击检测 网页HTTP会话 从用户请求网页开始,获取网页所有内容与内嵌对象的整个过程 网页HTTP会话重组 源目IP地址 用户浏览时间间隔 HTTP请求包头referer域信息 实验数据集 采集方法 正常网页(WebClean):Alexa排名网站;捕获每个网页访问过程的HTTP流量 异常网页(WebMalware):部分由高交互虚拟蜜罐系统采集,部分来自于行业内各企业公布的挂马网站地址 数据集概况 Corpus abbreviation Number of Instances Crawl Date Training Dataset WebClean 219,047 Sept.2010 WebMalware 1,048 Sept.2010 Testing Dataset WebClean-T 53,560 Nov. 2010 WebMalware-T 365 Nov. 2010 域名相关特征 白名单 站点IP地址分布 域名词汇特征 引用不同类别外部域名特征 域名段数特征 HTTP头部相关特征 重定向链接层数 不同类型文件的请求数量 不同User-Agent信息域的数量 不完整头部信息域的请求数量 正常网页与挂马网页特征分析 1、白名单 正常网页所引用的外部对象大多由知名站点提供 恶意程序分发站点一般都是由黑客直接管理并不对外提供正常的web服务 白名单:频繁被引用的网页域名集(本文取引用频次100) 2、站点IP地址分布 恶意站点大多属于某些信誉度不高的二级域名注册机构 恶意站点IP地址在某些区间集中的特点 域名相关特征 3、域名词汇特征 正常网站的域名一般都是基于自然语言的,从而方便宣传与用户记忆 恶意服务器的域名一般具有生存期短的特点,并使用一些偏离正常构词方法构造的域名 域名相关特征(cont’d) 33 评价方法 N-gram 使用正常网页集的前150,000个网页的域名作为训练集 挂马网页集中共采集了3144个恶意站点域名 4、引用不同类别外部域名特征 各类网页所引用的外部域大部分都属于com与net域,并且一般情况下多引用同类型站点的内容,基本不会引用其他类型站点的内容。 比如:教育类(edu)网页除了引用com与edu类站点(共占92%)内容外,基本不会引用其他类型站点的内容。 域名相关特征(cont’d) 5、

文档评论(0)

chqs52 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档