一种基于混淆机制的网页木马检测模型的研究与实现

doi:10.3969/j.issn.1671-1122.2015.10.001

信息网络安全 ›› 2015, Vol. 15 ›› Issue (10): 1-7.doi: 10.3969/j.issn.1671-1122.2015.10.001

• • 下一篇

一种基于混淆机制的网页木马检测模型的研究与实现

杜春来, 孙汇中(), 王景中, 王宝成

北方工业大学信息安全实验室,北京 100144

收稿日期:2015-07-25 出版日期:2015-10-01 发布日期:2015-11-04
作者简介:
作者简介：杜春来（1975-）,男,河北,讲师,博士,主要研究方向：信息安全;孙汇中（1989-）,男,河南,硕士研究生,主要研究方向：信息安全;王景中（1962-）,男,内蒙古,教授,硕士,主要研究方向：计算机通信网络与信息安全技术;王宝成（1979-）,男,山东,讲师,博士,主要研究方向：信息安全。
基金资助:
北京市自然科学基金 [KZ2010009008];北京市高等学校人才强教计划资助项目[PHR2012];北京市创新团队计划项目[HT20130502]

Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms

Chun-lai DU, Hui-zhong SUN(), Jing-zhong WANG, Bao-cheng WANG

Information Security Lab, North China University of Technology, Beijing 100144, China

Received:2015-07-25 Online:2015-10-01 Published:2015-11-04

摘要/Abstract

摘要：

网页木马是利用网页来进行破坏的恶意程序。当用户访问某些含有网页木马的网站时,木马程序就会通过网页中的内嵌链接被悄无声息地下载。这些木马程序一旦被下载、激活,就会利用系统中的某些资源进行破坏。目前针对网页木马的检测有基于特征码的静态检测方案和基于蜜罐客户端的动态检测方案,但这两种检测方案都无法很好地解决网页木马日益增多、混淆和躲避检测手段的问题。文章结合这两种网页木马检测方案的优点,提出一种基于网页内容分析和Shellcode定位识别的反混淆技术,该技术能够解决内嵌链接在动态验证时由于交互条件不存在而造成的漏报。在此基础上,加入动态和静态检测机制,建立了一种网页木马检测模型。实验数据表明,该模型能够准确地检测各种加壳、加密、变形等网页木马,提高了木马检测效率。

关键词: 网页木马, 内容分析, Shellcode定位, 反混淆, 加密

Abstract:

Webpage trojan is a malicious program that uses the Webpage to carry out the destruction. When the user visits the Website that contains some Webpage trojans, the trojan program will be silently downloaded through the link embedded in the Webpage. Once the trojans are downloaded and activated, they will use resources in the system to destroy the computer system. Currently, Webpage trojan detection includes static detection based on feature codes and dynamic detection based on honeypot client, but the two detection schemes can’t well solved the problems of growing number of Webpage trojans, confusion and avoiding detection means. This paper combines the advantages of the two detection schemes, putting forward an anti-obfuscation technology based on Webpage content analysis and shellcode location and recognition, which can solve the omission problem caused by interaction conditions not existing while verifying dynamically embedded links. On this basis, combined with the static and dynamic detection mechanisms, the paper establishes a Webpage trojan detection model. The experimental results show that the model can accurately detect various types of shell, encryption, deformation Webpage trojans, improving the detection efficiency of trojans.

Key words: Webpage trojan, content analysis, Shellcode orientation, anti-obfuscation, encryption

中图分类号:

TP309

杜春来, 孙汇中, 王景中, 王宝成. 一种基于混淆机制的网页木马检测模型的研究与实现[J]. 信息网络安全, 2015, 15(10): 1-7.

Chun-lai DU, Hui-zhong SUN, Jing-zhong WANG, Bao-cheng WANG. Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms[J]. Netinfo Security, 2015, 15(10): 1-7.

图/表 9

图1

图2

图3

图4

表1

图5

图6

表2

表3

参考文献 16

[1]	兰芸,李宝林. 木马恶意软件的电子数据勘查与取证分析初探[J]. 信息网络安全,2014,(5):87-91.
[2]	Day O, Palmen B, Greenstadt R.Reinterpreting the disclosure debate for web infections[C]//Proc Seventh Workshop on the Economics of Information Security (WEIS2008) . Hanover , New Hampshire , June 2008.
[3]	王海峰,段友祥,刘仁宁. 基于行为分析的病毒检测引擎的改良研究[J]. 计算机应用,2004,(24):109-110.
[4]	郝增帅,郭荣华,文伟平,等. 基于特征分析和行为监控的未知木马检测系统研究与实现[J]. 信息网络安全,2015,(2):57-65.
[5]	胡卫,张昌宏,马明田. 基于动态行为检测的木马检测系统设计[J].火力与指挥控制,2010,35(2):128-132.
[6]	张慧琳,诸葛建伟,宋程昱,等.基于页面动态视图的网页木马检测方法[J].清华大学学报(自然科学版),2009,49(S2):2126-2132.
[7]	徐国天. 远程控制木马通信协议及线索调查方法研究[J]. 信息网络安全,2014,(3):52-56.
[8]	PhantomJS.Cloud[EB/OL].,2013-08-13.
[9]	ProjectShelloce.ShellocdeTutorials [EB/OL].,2012-04-08.
[10]	李焕洲,陈婧婧,钟明全,等.基于行为特征库的木马检测模型设计[J]. 四川师范大学学报(自然科学版),2011,34(1):123-127.
[11]	韩万军,王振宇,等.Windows平台下地址空间分布随机变化技术研究及实现[J].计算机应用与软件,2011,28(4):117-120.
[12]	许一震,王永成,沈洲. 一种快速的多模式字符串匹配算法[J]. 上海交通大学学报,2002,36(4):516-520.
[13]	Thomas J,Hughes R.Implicit-explicit finite elements in nonlinear transient analysis[J].Computer methods in Applied Mechanics and Engineering,1987,(45):371-378.
[14]	BOYER R S,MOORE J S.A fast string searching algorithm[J].Communications of ACM,1977,20(10):762-772.
[15]	杨明,王轶骏,薛质.高混淆网页木马的研究与检测实现[J].计算机工程与设计,2014,35(8):2663-2639.
[16]	开源社区.The Honeynet Project[EB/OL].,2009-10-08.

一种基于混淆机制的网页木马检测模型的研究与实现

Research and Implementation of Webpage Trojan Detection Model Based on Obfuscation Mechanisms

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	傅智宙, 王利明, 唐鼎, 张曙光. 基于同态加密的HBase二级密文索引方法研究[J]. 信息网络安全, 2020, 20(4): 55-64.
[2]	周权, 杨宁滨, 许舒美. 基于FBDH算法的容错可验证公钥可搜索加密方案[J]. 信息网络安全, 2020, 20(3): 29-35.
[3]	张艺, 刘红燕, 咸鹤群, 田呈亮. 基于授权记录的云存储加密数据去重方法[J]. 信息网络安全, 2020, 20(3): 75-82.
[4]	刘鹏, 何倩, 刘汪洋, 程序. 支持撤销属性和外包解密的CP-ABE方案[J]. 信息网络安全, 2020, 20(3): 90-97.
[5]	唐春明, 林旭慧. 隐私保护集合交集计算协议[J]. 信息网络安全, 2020, 20(1): 9-15.
[6]	许盛伟, 王飞杰. 多机构授权下可追踪可隐藏的属性基加密方案[J]. 信息网络安全, 2020, 20(1): 33-39.
[7]	汪金苗, 王国威, 王梅, 朱瑞瑾. 面向雾计算的隐私保护与访问控制方法[J]. 信息网络安全, 2019, 19(9): 41-45.
[8]	王生玉, 汪金苗, 董清风, 朱瑞瑾. 基于属性加密技术研究综述[J]. 信息网络安全, 2019, 19(9): 76-80.
[9]	刘建华, 郑晓坤, 郑东, 敖章衡. 基于属性加密且支持密文检索的安全云存储系统[J]. 信息网络安全, 2019, 19(7): 50-58.
[10]	秦中元, 韩尹, 张群芳, 朱雪金. 一种改进的多私钥生成中心云存储访问控制方案[J]. 信息网络安全, 2019, 19(6): 11-18.
[11]	刘文超, 潘峰, 杨晓元, 周潭平. 基于GPU的全同态加密软件库调试与分析[J]. 信息网络安全, 2019, 19(6): 76-83.
[12]	闫玺玺, 张棋超, 汤永利, 黄勤龙. 支持叛逆者追踪的密文策略属性基加密方案[J]. 信息网络安全, 2019, 19(5): 47-53.
[13]	陈良臣, 高曙, 刘宝旭, 卢志刚. 网络加密流量识别研究进展及发展趋势[J]. 信息网络安全, 2019, 19(3): 19-25.
[14]	张玉磊, 刘祥震, 郎晓丽, 王彩芬. 云环境下基于无证书的多服务器可搜索加密方案[J]. 信息网络安全, 2019, 19(3): 72-80.
[15]	郭亚军, 蒲东齐. 基于蜜罐加密算法的个人隐私数据保护[J]. 信息网络安全, 2019, 19(12): 38-46.