惡意網(wǎng)頁檢測系統(tǒng)設(shè)計及在云架構(gòu)中的應(yīng)用.pdf

1、隨著WEB2.0和云計算技術(shù)的日益普及和發(fā)展，很多應(yīng)用都提供基于WEB的服務(wù)，互聯(lián)網(wǎng)中出現(xiàn)大量的惡意網(wǎng)頁，并且惡意網(wǎng)頁的攻擊逐漸成為互聯(lián)網(wǎng)上攻擊的主要形式。這些網(wǎng)頁中嵌入的惡意代碼一般以JavaScript,VBScript等腳本編寫，通過各種形式混淆代碼以逃避檢測。目前，網(wǎng)絡(luò)游戲、社交網(wǎng)絡(luò)、網(wǎng)上購物等平臺經(jīng)常出現(xiàn)網(wǎng)游用戶賬戶被盜，社交網(wǎng)站被攻擊，網(wǎng)上銀行中的錢莫名減少等安全事件。因此在信息安全領(lǐng)域，對惡意網(wǎng)頁進(jìn)行分析和檢測變得尤為重要

2、。
　　 本文首先對惡意網(wǎng)頁的相關(guān)檢測技術(shù)做了分析，如:特征碼檢測、啟發(fā)式檢測、行為檢測、沙箱等，并指出了它們各自的優(yōu)缺點。同時對惡意URL特征、分類算法及惡意網(wǎng)頁行為等相關(guān)內(nèi)容進(jìn)行了分析。在此基礎(chǔ)上，設(shè)計了一個基于內(nèi)容分析的惡意網(wǎng)頁檢測系統(tǒng)，該系統(tǒng)通過一個wget爬蟲工具獲取待檢測網(wǎng)頁的源文件，根據(jù)正則表達(dá)式，用網(wǎng)絡(luò)爬蟲爬取源文件的超鏈接、圖片鏈接以及里面的腳本代碼;在獲取這些內(nèi)容后，系統(tǒng)通過靜態(tài)檢測的方式判斷這些URL是否是

3、惡意的，根據(jù)在惡意URL數(shù)據(jù)庫中對其標(biāo)準(zhǔn)化的設(shè)定，檢測出已知的惡意網(wǎng)頁;對于不能靜態(tài)檢測出的網(wǎng)頁，再經(jīng)過一個采用行為方式的度量模塊，運用沙箱技術(shù)和SSDTHOOK技術(shù)獲得惡意代碼行為，然后通過啟發(fā)式檢測方式，判斷獲得的行為權(quán)值是否大于設(shè)定的某個閾值，從而有效判斷網(wǎng)頁的惡意性。最后通過實驗驗證了系統(tǒng)檢測的效率和準(zhǔn)確率，實驗結(jié)果表明，靜態(tài)分析模塊對檢測含有惡意URL的網(wǎng)頁有較高的效率;度量模塊在閾值N取值較為合理的情形下，對檢測含有惡意代碼