基于相似性分析的WordPress主题恶意代码检测

doi:10.3969/j.issn.1671-1122.2017.12.009

信息网络安全 ›› 2017, Vol. 17 ›› Issue (12): 47-53.doi: 10.3969/j.issn.1671-1122.2017.12.009

基于相似性分析的WordPress主题恶意代码检测

周振飞^1,², 方滨兴^1,⁴, 崔翔^2,³, 刘奇旭^2,³()

1.北京邮电大学网络空间安全学院,北京 100049
2.中国科学院信息工程研究所,北京 100093
3.中国科学院大学网络空间安全学院,北京 100049
4.电子科技大学广东电子信息工程研究院,广东东莞 523808

收稿日期:2017-08-15 出版日期:2017-12-20 发布日期:2020-05-12
作者简介:
作者简介：周振飞（1992—）,男,广东,硕士研究生,主要研究方向为网络安全;方滨兴（1960—）,男,黑龙江,教授,博士,主要研究方向为网络安全、信息内容安全;崔翔（1978—）,男,黑龙江,研究员,博士,主要研究方向为网络安全、僵尸网络;刘奇旭（1984—）,男,江苏,副研究员,博士,主要研究方向为Web安全、恶意代码分析。
基金资助:
国家重点研发计划[2016YFB0801604];东莞市引进创新科研团队计划[201636000100038]

A Method of Malicious Code Detection in WordPress Theme Based on Similarity Analysis

Zhenfei ZHOU^1,², Binxing FANG^1,⁴, Xiang CUI^2,³, Qixu LIU^2,³()

1.School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing 100049, China
2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China
3. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China
4.Institute of Electronic and Information Engineering of UESTC in Guangdong, Dongguan Guangdong 523808, China

Received:2017-08-15 Online:2017-12-20 Published:2020-05-12

摘要/Abstract

摘要：

已有的主题安全检测方法主要依赖于已知恶意代码特征,无法应对未知恶意代码。文章总结出恶意代码植入主题存在的主题重打包与恶意代码复用两个现象并提出基于相似性分析的恶意代码检测方法。该方法通过对多个主题同时进行分析,根据页面样式相似性得出主题间的同源关系,进而检测出同源主题相异代码与非同源主题相似代码,最后通过阈值与白名单过滤出高度可疑的恶意代码。文章针对252个非官方主题进行实验,检测出17个含有恶意代码的主题。实验证明,该检测方法能够在不依赖特征的情况下检测出未知的恶意代码,一定程度上优于现有的方法。

关键词: WordPress主题, 恶意代码, 相似性, 同源关系

Abstract:

Existing detection methods mainly rely on characteristic of known malicious code. This paper concludes repackaging and reusing phenomena and propose a detection method based on similarity analysis. Firstly, it analyzes homologous relationship of themes based on page style similarity. Secondly, it finds different code in same-origin themes and similar code in different-origin themes. Finally, it filters code by threshold and white list, the remaining are considered as highly suspicious malicious code. This paper analyzes 252 non-official themes and finds 17 themes containing malicious code. Result shows that this method can find malicious code without knowledge of their characteristic, which is better than existing methods in some extent.

Key words: WordPress theme, malicious code, similarity, homologous relationship

中图分类号:

TP309.1

周振飞, 方滨兴, 崔翔, 刘奇旭. 基于相似性分析的WordPress主题恶意代码检测[J]. 信息网络安全, 2017, 17(12): 47-53.

Zhenfei ZHOU, Binxing FANG, Xiang CUI, Qixu LIU. A Method of Malicious Code Detection in WordPress Theme Based on Similarity Analysis[J]. Netinfo Security, 2017, 17(12): 47-53.

图/表 7

参考文献 19

[1]	BuildWith. WordPress Usage Statistics [EB/OL]. ,2017-8-10.
[2]	DigitalMunition. Thousands of WordPress Websites Used as a Platform to Launch DDOS [EB/OL]./,2017-8-10.
[3]	404 Team from Knownsec. Wordpress functions.php 主题文件后门分析 [EB/OL]. .
[4]	Fox-IT Security. CryptoPHP-Analysis of a hidden threat inside popular content management systems[EB/OL]. ,2017-8-10.
[5]	HUANG Y W.Securing Web Application Code by Static Analysis and Runtime Protection[C]//ACM. WWW '04 Proceedings of the 13th international conference on World Wide Web, May 17 - 20, 2004 ,New York, USA.New York:ACM,2004:40-52.
[6]	SEIFERT C, WELCH I, KOMISARCZUK P. HoneyC - The Low-Interaction Client Honeypot[EB/OL]. ,2017-8-10.
[7]	Word Press. Theme Authenticity Checker (TAC) [EB/OL].,2017-8-10.
[8]	Word Press. Exploit Scanner[EB/OL].,2017-8-10.
[9]	Word Press. Wordfence Security[EB/OL].,2017-8-10.
[10]	刘文生,乐德广,刘伟. SQL注入攻击与防御技术研究[J]. 信息网络安全,2015(9):129-134.
[11]	BlogVault. Common Attacks on WordPress Sites 101: Backdoors [EB/OL].,2017-8-10.
[12]	阿里云安全. WordPress主题后门严重威胁网站安全[EB/OL]. ,2017-8-10.
[13]	林佳萍,李晖. 安卓恶意软件检测研究综述[J]. 信息网络安全,2016(10):80-88.
[14]	CHEN K, WANG P, LEE Y, et al.Finding Unknown Malice in 10 seconds: Mass Vetting for New Threats at the Google-play Scale[C]// USENIX. SEC'15 Proceedings of the 24th USENIX Conference on Security Symposium. August 12 - 14, 2015 ,Washington. Berkeley:USENIX Association, 2015:659-674.
[15]	WordPress. Theme Development [EB/OL]. ,2017-8-10.
[16]	Yoast. The anatomy of a WordPress theme[EB/OL]. .
[17]	薛丽敏,吴琦,李骏. 面向专用信息获取的用户定制主题网络爬虫技术研究[J]. 信息网络安全,2017(2):12-21.
[18]	Sebastian bergmann . Copy/PasteDetector(CPD) for PHP code [EB/OL]. ,2017-8-10.
[19]	Wpbeginner. 32 Extremely Useful Tricks for the WordPress Functions File[EB/OL]. .

基于相似性分析的WordPress主题恶意代码检测

A Method of Malicious Code Detection in WordPress Theme Based on Similarity Analysis

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 19

相关文章 15

编辑推荐

Metrics

本文评价

[1]	乔延臣, 姜青山, 古亮, 吴晓明. 基于汇编指令词向量与卷积神经网络的恶意代码分类方法研究[J]. 信息网络安全, 2019, 19(4): 20-28.
[2]	李云春, 鲁文涛, 李巍. 基于Shapelet的恶意代码检测方法[J]. 信息网络安全, 2018, 18(3): 70-77.
[3]	裴杨, 瞿学鑫, 郭晓博, 段丁阳. 基于node2vec的社交网络用户属性补全攻击[J]. 信息网络安全, 2017, 17(12): 67-72.
[4]	王毅, 唐勇, 卢泽新, 俞昕. 恶意代码聚类中的特征选取研究[J]. 信息网络安全, 2016, 16(9): 64-68.
[5]	蔡林, 陈铁明. Android移动恶意代码检测的研究概述与展望[J]. 信息网络安全, 2016, 16(9): 218-222.
[6]	张家旺, 李燕伟. 基于N-gram算法的恶意程序检测系统研究与设计[J]. 信息网络安全, 2016, 16(8): 74-80.
[7]	梁宏, 张慧云, 肖新光. 基于社会工程学的邮件样本关联分析[J]. 信息网络安全, 2015, 15(9): 180-185.
[8]	柴华, 刘建毅. 一种改进的slope one推荐算法研究[J]. 信息网络安全, 2015, 15(2): 77-81.
[9]	芦天亮，周运伟，曹巍. 移动互联网攻击技术及违法犯罪手段分析[J]. 信息网络安全, 2014, 14(9): 176-179.
[10]	任伟, 柳坤, 周金. AnDa：恶意代码动态分析系统[J]. 信息网络安全, 2014, 14(8): 28-33.
[11]	. 电力移动智能终端安全技术研究[J]. , 2014, 14(4): 70-.
[12]	温志渊;翟健宏;徐径山;欧阳建国. 基于攻击行为树的恶意代码检测平台[J]. , 2013, 13(9): 0-0.
[13]	田庆宜. iOS系统恶意代码检测平台设计与实现[J]. , 2013, 13(10): 0-0.
[14]	李向东;刘晓;夏冰;郑秋生. 恶意代码检测技术及其在等级保护工作中的应用[J]. , 2012, 12(8): 0-0.
[15]	贾菲;刘威. 基于Android平台恶意代码逆向分析技术的研究[J]. , 2012, 12(4): 0-0.