一种基于混淆机制的网页木马检测模型的研究与实现

doi:10.3969/j.issn.1671-1122.2015.10.001

信息网络安全 ›› 2015, Vol. 15 ›› Issue (10): 1-7.doi: 10.3969/j.issn.1671-1122.2015.10.001

• 等级保护 • 下一篇

一种基于混淆机制的网页木马检测模型的研究与实现

杜春来, 孙汇中(), 王景中, 王宝成

北方工业大学信息安全实验室,北京 100144

收稿日期:2015-07-25 出版日期:2015-10-01 发布日期:2015-11-04
作者简介:
作者简介：杜春来（1975-）,男,河北,讲师,博士,主要研究方向：信息安全;孙汇中（1989-）,男,河南,硕士研究生,主要研究方向：信息安全;王景中（1962-）,男,内蒙古,教授,硕士,主要研究方向：计算机通信网络与信息安全技术;王宝成（1979-）,男,山东,讲师,博士,主要研究方向：信息安全。
基金资助:
北京市自然科学基金 [KZ2010009008];北京市高等学校人才强教计划资助项目[PHR2012];北京市创新团队计划项目[HT20130502]

Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms

DU Chun-lai, SUN Hui-zhong(), WANG Jing-zhong, WANG Bao-cheng

Information Security Lab, North China University of Technology, Beijing 100144, China

Received:2015-07-25 Online:2015-10-01 Published:2015-11-04

摘要/Abstract

摘要：

网页木马是利用网页来进行破坏的恶意程序。当用户访问某些含有网页木马的网站时,木马程序就会通过网页中的内嵌链接被悄无声息地下载。这些木马程序一旦被下载、激活,就会利用系统中的某些资源进行破坏。目前针对网页木马的检测有基于特征码的静态检测方案和基于蜜罐客户端的动态检测方案,但这两种检测方案都无法很好地解决网页木马日益增多、混淆和躲避检测手段的问题。文章结合这两种网页木马检测方案的优点,提出一种基于网页内容分析和Shellcode定位识别的反混淆技术,该技术能够解决内嵌链接在动态验证时由于交互条件不存在而造成的漏报。在此基础上,加入动态和静态检测机制,建立了一种网页木马检测模型。实验数据表明,该模型能够准确地检测各种加壳、加密、变形等网页木马,提高了木马检测效率。

关键词: 网页木马, 内容分析, Shellcode定位, 反混淆, 加密

Abstract:

Webpage trojan is a malicious program that uses the Webpage to carry out the destruction. When the user visits the Website that contains some Webpage trojans, the trojan program will be silently downloaded through the link embedded in the Webpage. Once the trojans are downloaded and activated, they will use resources in the system to destroy the computer system. Currently, Webpage trojan detection includes static detection based on feature codes and dynamic detection based on honeypot client, but the two detection schemes can’t well solved the problems of growing number of Webpage trojans, confusion and avoiding detection means. This paper combines the advantages of the two detection schemes, putting forward an anti-obfuscation technology based on Webpage content analysis and shellcode location and recognition, which can solve the omission problem caused by interaction conditions not existing while verifying dynamically embedded links. On this basis, combined with the static and dynamic detection mechanisms, the paper establishes a Webpage trojan detection model. The experimental results show that the model can accurately detect various types of shell, encryption, deformation Webpage trojans, improving the detection efficiency of trojans.

Key words: Webpage trojan, content analysis, Shellcode orientation, anti-obfuscation, encryption

中图分类号:

TP309

杜春来, 孙汇中, 王景中, 王宝成. 一种基于混淆机制的网页木马检测模型的研究与实现[J]. 信息网络安全, 2015, 15(10): 1-7.

DU Chun-lai, SUN Hui-zhong, WANG Jing-zhong, WANG Bao-cheng. Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms[J]. Netinfo Security, 2015, 15(10): 1-7.

图/表 9

图1

图2

图3

图4

表1

图5

图6

表2

表3

参考文献 16

[1]	兰芸,李宝林. 木马恶意软件的电子数据勘查与取证分析初探[J]. 信息网络安全,2014,(5):87-91.
[2]	Day O, Palmen B, Greenstadt R.Reinterpreting the disclosure debate for web infections[C]//Proc Seventh Workshop on the Economics of Information Security (WEIS2008) . Hanover , New Hampshire , June 2008.
[3]	王海峰,段友祥,刘仁宁. 基于行为分析的病毒检测引擎的改良研究[J]. 计算机应用,2004,(24):109-110.
[4]	郝增帅,郭荣华,文伟平,等. 基于特征分析和行为监控的未知木马检测系统研究与实现[J]. 信息网络安全,2015,(2):57-65.
[5]	胡卫,张昌宏,马明田. 基于动态行为检测的木马检测系统设计[J].火力与指挥控制,2010,35(2):128-132.
[6]	张慧琳,诸葛建伟,宋程昱,等.基于页面动态视图的网页木马检测方法[J].清华大学学报(自然科学版),2009,49(S2):2126-2132.
[7]	徐国天. 远程控制木马通信协议及线索调查方法研究[J]. 信息网络安全,2014,(3):52-56.
[8]	PhantomJS.Cloud[EB/OL].,2013-08-13.
[9]	ProjectShelloce.ShellocdeTutorials [EB/OL].,2012-04-08.
[10]	李焕洲,陈婧婧,钟明全,等.基于行为特征库的木马检测模型设计[J]. 四川师范大学学报(自然科学版),2011,34(1):123-127.
[11]	韩万军,王振宇,等.Windows平台下地址空间分布随机变化技术研究及实现[J].计算机应用与软件,2011,28(4):117-120.
[12]	许一震,王永成,沈洲. 一种快速的多模式字符串匹配算法[J]. 上海交通大学学报,2002,36(4):516-520.
[13]	Thomas J,Hughes R.Implicit-explicit finite elements in nonlinear transient analysis[J].Computer methods in Applied Mechanics and Engineering,1987,(45):371-378.
[14]	BOYER R S,MOORE J S.A fast string searching algorithm[J].Communications of ACM,1977,20(10):762-772.
[15]	杨明,王轶骏,薛质.高混淆网页木马的研究与检测实现[J].计算机工程与设计,2014,35(8):2663-2639.
[16]	开源社区.The Honeynet Project[EB/OL].,2009-10-08.

一种基于混淆机制的网页木马检测模型的研究与实现

Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	李增鹏, 王思旸, 王梅. 隐私保护近邻检测研究[J]. 信息网络安全, 2024, 24(6): 817-830.
[2]	欧阳梦迪, 孙钦硕, 李发根. SM9加密算法的颠覆攻击与改进[J]. 信息网络安全, 2024, 24(6): 831-842.
[3]	李强, 沈援海, 刘天旭, 黄晏瑜, 孙建国. 面向尺寸模式保护的高效对称可搜索加密方案[J]. 信息网络安全, 2024, 24(6): 843-854.
[4]	郭瑞, 杨鑫, 王俊茗. 基于区块链的可验证可撤销属性加密方案[J]. 信息网络安全, 2024, 24(6): 863-878.
[5]	叶清, 何俊霏, 杨智超. 基于格的可搜索公钥加密研究进展[J]. 信息网络安全, 2024, 24(6): 903-916.
[6]	顾国民, 陈文浩, 黄伟达. 一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法[J]. 信息网络安全, 2024, 24(5): 694-708.
[7]	石润华, 邓佳鹏, 于辉, 柯唯阳. 基于量子行走公钥加密的电子投票方案[J]. 信息网络安全, 2024, 24(5): 732-744.
[8]	刘峰, 江佳齐, 黄灏. 面向加密货币交易介质及过程的安全综述[J]. 信息网络安全, 2024, 24(3): 330-351.
[9]	宋玉涵, 祝跃飞, 魏福山. 一种基于AdaBoost模型的区块链异常交易检测方案[J]. 信息网络安全, 2024, 24(1): 24-35.
[10]	赖成喆, 赵益宁, 郑东. 基于同态加密的隐私保护与可验证联邦学习方案[J]. 信息网络安全, 2024, 24(1): 93-105.
[11]	刘芹, 王卓冰, 余纯武, 王张宜. 面向云安全的基于格的高效属性基加密方案[J]. 信息网络安全, 2023, 23(9): 25-36.
[12]	周权, 陈民辉, 卫凯俊, 郑玉龙. 基于SM9的属性加密的区块链访问控制方案[J]. 信息网络安全, 2023, 23(9): 37-46.
[13]	石润华, 谢晨露. 云边缘环境中基于属性加密的可验证EMR外包解决方案[J]. 信息网络安全, 2023, 23(7): 9-21.
[14]	李增鹏, 王梅, 陈梦佳. 新形态伪随机函数研究[J]. 信息网络安全, 2023, 23(5): 11-21.
[15]	秦宝东, ，陈从正, ，何俊杰, 郑东. 基于可验证秘密共享的多关键词可搜索加密方案[J]. 信息网络安全, 2023, 23(5): 32-40.