面向Linux的瀏覽器惡意網(wǎng)頁檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、由于互聯(lián)網(wǎng)科技的進(jìn)步，帶動網(wǎng)民數(shù)目的增長，各種操作系統(tǒng)如Linux、windows的普及。人們的生活方式也因此轉(zhuǎn)變。傳統(tǒng)的社交、商業(yè)等都轉(zhuǎn)移到互聯(lián)網(wǎng)平臺上，正是因為這樣，攻擊也轉(zhuǎn)移到互聯(lián)網(wǎng)上如釣魚、掛馬和xss等，一旦人們中了攻擊者的陷阱，那么用戶已經(jīng)沒有安全可言，深深侵犯了用戶的個人隱私和財產(chǎn)利益。
　　由于國家大力支持基于linux的國產(chǎn)操作系統(tǒng)，而且政府高層作出了“必須用國產(chǎn)操作系統(tǒng)替代微軟windows操作系統(tǒng)的”指示。然

2、而在Windows操作系統(tǒng)上已經(jīng)有了一些防護(hù)工具，但是在基于Linux的國產(chǎn)操作系統(tǒng)中卻鮮有，隨著Linux用戶的增加，隨之而來的就是網(wǎng)絡(luò)安全問題。瀏覽器是人們最常用的上網(wǎng)入口，惡意攻擊也是通過瀏覽器的平臺實現(xiàn)，所以一個基于Linux的瀏覽器惡意網(wǎng)頁檢測系統(tǒng)是必須的。
　　本文中針對網(wǎng)頁采取了對URL、JS腳本和下載文件的檢測。以動靜態(tài)結(jié)合的形式，具備了對未發(fā)現(xiàn)和已發(fā)現(xiàn)惡意網(wǎng)頁的檢測實力。首先，通過擴(kuò)展對瀏覽器事件進(jìn)行監(jiān)控，在瀏覽

3、網(wǎng)頁時，截獲URL并在插件中對其進(jìn)行結(jié)構(gòu)、特征解析，然后進(jìn)行黑白名單檢測、基于特定環(huán)境的編輯距離（SED）相似度檢測和特征向量檢測的釣魚攻擊檢測。如果期間瀏覽器下載了文件，獲得下載目錄，然后對其進(jìn)行md5和smd5的hash檢測。最后對其實行基于拓展的Spidermonkey的跨站腳本攻擊檢測，通過對開源的firefox進(jìn)行注入并對關(guān)鍵函數(shù)進(jìn)行hook操作，hook的回調(diào)函數(shù)使用擴(kuò)展開發(fā)的spidermonkey對Javascript進(jìn)

4、行解析，通過對污點數(shù)據(jù)的標(biāo)注和跟蹤，分析發(fā)送地址是不是滿足同源策略，判斷是不是把敏感數(shù)據(jù)發(fā)送給給了非源站點，依此斷定是不是實施了跨站腳本攻擊。如果該網(wǎng)頁惡意，則會提醒用戶是否繼續(xù)訪問。
　　最后經(jīng)過一系列的功能測試（functional testing）、兼容性測試（compatibility testing）、性能測試（performance testing），確定程序可以達(dá)到了客戶的使用預(yù)期，能夠滿足對URL，下載文件，XSS