基于行為分析的網(wǎng)頁木馬檢測技術研究.pdf

1、隨著近年來網(wǎng)絡技術的飛速發(fā)展，與Internet有關的安全事件愈來愈多，安全問題日益突出。目前，網(wǎng)頁木馬成為惡意軟件傳播中最常見的形式之一，網(wǎng)頁木馬具有傳播速度快、變種形式多樣、破壞力強等特點，給普通網(wǎng)絡用戶帶來嚴重的安全威脅，所以高效、準確的網(wǎng)頁木馬檢測研究是很必要的。
　　目前防御網(wǎng)頁木馬通常采用以下兩種方法，基于龐大的“木馬網(wǎng)址庫”建立網(wǎng)頁木馬防火墻，或者依賴于各種網(wǎng)絡安全產(chǎn)品的主動防御系統(tǒng)。但兩種方法在檢測網(wǎng)頁木馬時均存在

2、缺陷：前者要根據(jù)已檢測到的結果不斷更新“網(wǎng)頁木馬地址庫”，但是網(wǎng)頁木馬地址數(shù)量非常巨大而且有效期可能很短，此方法不僅缺乏時效性而且非常浪費資源；后者雖然借助主動防御系統(tǒng)可以針對網(wǎng)頁木馬做出主動檢測，但是面對變種形式多樣、隱藏技術特殊的網(wǎng)頁木馬缺乏準確性和針對性，而且由于網(wǎng)頁木馬獨特的傳播運行原理，主動防御系統(tǒng)的有效檢測往往發(fā)生在網(wǎng)頁木馬安裝運行之后，缺乏時效性。
　　本文提出基于行為特征分析的網(wǎng)頁木馬檢測方案，在研究網(wǎng)頁木馬行為特

3、征的基礎上，采用相應的技術方案實現(xiàn)網(wǎng)頁木馬檢測。本文首先在研究當前網(wǎng)頁木馬應用技術發(fā)展特點的基礎上，采集主流的各類型網(wǎng)頁木馬構建試驗樣本庫，然后利用各種軟件工具結合適當方法采集其代碼行為和運行行為的特征，分析研究檢測技術的基本原理。在此基礎上本文首先基于進程監(jiān)視技術設計檢測方案，然后通過分析其設計和檢測上的優(yōu)缺點，結合內(nèi)核模式下的API函數(shù)調(diào)用攔截技術提出改進方案，并在此基礎上設計和實現(xiàn)了網(wǎng)頁木馬檢測系統(tǒng)。此系統(tǒng)通過攔截瀏覽器激活網(wǎng)頁木