基于主動(dòng)方式的惡意代碼檢測(cè)技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，惡意代碼已成為互聯(lián)網(wǎng)最嚴(yán)重的安全威脅之一。當(dāng)前惡意代碼傳播與攻擊手段呈現(xiàn)復(fù)雜化、多樣化的趨勢(shì)。傳播方面出現(xiàn)了新的傳播方式，原有的木馬等惡意代碼改變了傳播方式，開始大量利用廣泛應(yīng)用的客戶端如瀏覽器等進(jìn)行傳播，甚至出現(xiàn)了P2P下載傳播和GoogleHacking這類利用搜索引擎的傳播方式。隨之而來出現(xiàn)了大量利用客戶端軟件漏洞進(jìn)行攻擊的新手段，如利用瀏覽器和Email客戶端攻擊。目前這類通過客戶端應(yīng)

2、用進(jìn)行傳播的惡意代碼已成為惡意代碼主流，其中出現(xiàn)了不具備主動(dòng)傳播能力的惡意代碼如網(wǎng)頁夾帶的腳本病毒等。
　　蜜罐作為一種新興的攻擊誘騙技術(shù)，已在互聯(lián)網(wǎng)安全威脅檢測(cè)方向上得到了較為廣泛的應(yīng)用。但蜜罐技術(shù)只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，其視圖較為有限。傳統(tǒng)惡意代碼檢測(cè)系統(tǒng)如Nepenthes，單純使用蜜罐技術(shù)吸引惡意代碼，被動(dòng)等待其入侵。對(duì)于借助于客戶端應(yīng)用漏洞或被動(dòng)觸發(fā)方式感染目標(biāo)系統(tǒng)的惡意代碼，傳統(tǒng)檢測(cè)系統(tǒng)無法有效地進(jìn)行檢

3、測(cè)預(yù)警。
　　由于傳統(tǒng)的被動(dòng)檢測(cè)技術(shù)逐漸無法適應(yīng)網(wǎng)絡(luò)安全需要，惡意代碼檢測(cè)由被動(dòng)轉(zhuǎn)向主動(dòng)。本文對(duì)惡意代碼的傳播原理和運(yùn)行特性進(jìn)行了深入分析，并在此基礎(chǔ)上提出了基于主動(dòng)檢測(cè)的惡意代碼檢測(cè)模型。該模型與傳統(tǒng)惡意代碼檢測(cè)模型根本區(qū)別在于添加了對(duì)夾帶惡意代碼的可疑目標(biāo)進(jìn)行主動(dòng)發(fā)現(xiàn)與主動(dòng)訪問，主動(dòng)誘使惡意代碼攻擊，進(jìn)而實(shí)現(xiàn)檢測(cè)捕獲。
　　本文對(duì)基于IE瀏覽器傳播的惡意代碼的傳播過程和運(yùn)行模式進(jìn)行了深入分析，提出以IE瀏覽器為客戶端軟件

4、對(duì)可疑數(shù)據(jù)源進(jìn)行主動(dòng)訪問并采用基于監(jiān)測(cè)點(diǎn)集合的行為監(jiān)測(cè)方式進(jìn)行監(jiān)測(cè)。
　　以上述理論為基礎(chǔ)，結(jié)合爬蟲與高交互式蜜罐，本文設(shè)計(jì)實(shí)現(xiàn)了面向IE瀏覽器的惡意代碼檢測(cè)系統(tǒng)Decoy。除具有傳統(tǒng)檢測(cè)系統(tǒng)的檢測(cè)發(fā)現(xiàn)能力外，Decoy還通過主動(dòng)訪問夾帶惡意代碼的目標(biāo)，觸發(fā)惡意代碼，誘導(dǎo)惡意代碼實(shí)施攻擊，利用行為特征監(jiān)控進(jìn)行實(shí)時(shí)檢測(cè)，從而使惡意代碼檢測(cè)更具主動(dòng)性、全面性和高效性。與傳統(tǒng)檢測(cè)系統(tǒng)一般需要部署在公網(wǎng)相比，Decoy僅需部署于局域網(wǎng)即可