資源描述:
《基于主動方式的惡意代碼檢測技術(shù)研究》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文第1章緒論1.1課題背景隨著國際互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,各種各樣的攻擊手段也以驚人的速度增長。自從1988年莫里斯蠕蟲爆發(fā)以來,惡意代碼已經(jīng)成為互聯(lián)網(wǎng)上影響[1]最為廣泛且最為嚴峻的安全威脅,不僅對單獨受感染主機造成危害,同時對公共互聯(lián)網(wǎng)的整體安全構(gòu)成嚴重損害。為了應(yīng)對惡意代碼給互聯(lián)網(wǎng)所帶來的安全威脅,計算機應(yīng)急響應(yīng)部門、反病毒廠商和安全研究人員必須及時預(yù)警并及時獲取惡意代碼的樣本,通過深入分析了解其傳播和感染機理,然后[2]才能給出準確的監(jiān)測特征碼和適宜的處理措施。但目前惡意代碼傳播與攻擊手段呈現(xiàn)復(fù)雜化、多樣
2、化的趨勢,網(wǎng)絡(luò)安全新形勢使得傳統(tǒng)惡意代碼檢測手段失靈,網(wǎng)絡(luò)安全面臨許多新的威脅與挑戰(zhàn)。國家計算機病毒應(yīng)急處理中心《2008年惡意代碼的發(fā)展趨勢》稱,近兩年來,黑客和病毒制造者越來越狡猾,他們正改變以往的病毒編寫方式,研究各種網(wǎng)絡(luò)平臺系統(tǒng)和網(wǎng)絡(luò)應(yīng)用的流程。他們比以往更加注重攻擊策略與傳播、入侵流程。在傳播方面出現(xiàn)了新的傳播方式,原有的惡意代碼改變了傳播方式,開始大量利用廣泛應(yīng)用的客戶端如瀏覽器等進行傳播,甚至出現(xiàn)[2]了如GoogleHacking這類利用搜索引擎進行傳播的惡意代碼。隨之而來的也出現(xiàn)了大量利用客戶端軟件漏洞進行攻擊的新手段,
3、如出現(xiàn)了利用客戶端漏洞進行攻擊的腳本病毒。目前這類利用網(wǎng)絡(luò)下載或瀏覽等[3]方式進行傳播的惡意代碼成為惡意代碼主流。這類惡意代碼借助于客戶端應(yīng)用漏洞和被動觸發(fā)方式感染目標(biāo)系統(tǒng),其中相當(dāng)比例的惡意代碼不具備主[3]動傳播能力,而是借助于其它方法安裝到目標(biāo)系統(tǒng)。例如利用Web頁面攻擊客戶端的方式,即使用戶僅瀏覽一下網(wǎng)頁,并未下載任何東西,也會因此受到嚴重的攻擊,輕則系統(tǒng)被更改,重則硬盤被格式化或者安裝了木馬軟件。利用IE、Email客戶端等客戶端軟件進行傳播的惡意代碼大量泛濫給[4]WWW應(yīng)用帶來了很大的隱患。根據(jù)Google發(fā)布的數(shù)據(jù),Go
4、ogle在對全球數(shù)以十億計的網(wǎng)站中抽取的450萬個網(wǎng)頁的分析測試中發(fā)現(xiàn),至少有45[5]萬個頁面含有惡意腳本等隱藏性惡意程序。利用Email進行傳播的惡意代--1哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文碼,如Klez,擁有數(shù)量龐大的mail主題和主體,據(jù)說高達120種組合,而[6]且很多具有極大的欺騙性。隨著客戶端應(yīng)用的日益廣泛,這些網(wǎng)絡(luò)安全問題愈演愈烈。惡意代碼變種速度出現(xiàn)越來越快,而且傳播范圍也隨著客戶端應(yīng)用的廣泛而覆蓋更廣。但傳統(tǒng)的檢測網(wǎng)絡(luò)攻擊和惡意代碼的手段都是基于被動模式,如蜜罐等方式。這種被動接受攻擊的方式無法發(fā)現(xiàn)利用客戶端進行傳播的或
5、尚未大規(guī)模傳播的漏洞攻擊和惡意代碼,對于被動觸發(fā)傳播的惡意代碼也束手無策,并不能夠適應(yīng)目前惡意代碼變種的生產(chǎn)時間不斷的縮[7]短,以及惡意代碼爆發(fā)傳播方式不斷復(fù)雜的趨勢。傳統(tǒng)惡意代碼檢測系統(tǒng),例如惡意代碼捕獲器中比較著名的代表如德國蜜網(wǎng)項目組開發(fā)的Nepenthes。它采用低交互式蜜罐技術(shù)思想,通過模擬存有漏洞的HTTP、FTP等網(wǎng)絡(luò)服務(wù),誘捕針對這些已知漏洞的惡意代碼樣[8]本。但傳統(tǒng)的惡意代碼檢測系統(tǒng)單純局限于使用蜜罐技術(shù),通過模擬已知[3]漏洞吸引惡意代碼,被動等待其入侵。由于蜜罐技術(shù)本身的視圖有限,且不具備主動性,因此針對非主動傳
6、播的惡意代碼,傳統(tǒng)檢測系統(tǒng)無法有效地進行檢測發(fā)現(xiàn)。同時,傳統(tǒng)檢測系統(tǒng)一般需要部署在公網(wǎng)網(wǎng)絡(luò)出口,對部署環(huán)境的要求較高。由于傳統(tǒng)的依靠被動方式檢測的技術(shù)逐漸無法適應(yīng)網(wǎng)絡(luò)安全的需要,惡[9]意代碼檢測由被動檢測轉(zhuǎn)向主動檢測。如何引入新的惡意代碼檢測方法,以有效提高惡意代碼檢測性能、拓寬可發(fā)現(xiàn)的惡意代碼種類,改變基于被動的惡意代碼檢測是最具有本質(zhì)性的,已成為國內(nèi)外研究的熱點,并將成為網(wǎng)絡(luò)安全研究中的關(guān)鍵革新技術(shù)之一。1.2國內(nèi)外研究概況基于主動檢測技術(shù)的惡意代碼檢測已成為當(dāng)前研究領(lǐng)域中的一個熱點。目前國外一些頂尖公司和研究機構(gòu)都在進行相關(guān)研究,
7、并開發(fā)了一些可以運行測試的系統(tǒng),其應(yīng)用領(lǐng)域涉及漏洞發(fā)現(xiàn)、蠕蟲檢測、危險網(wǎng)站標(biāo)識等多個方面。迄今為止,國際上已有一些著名的研究機構(gòu)和商業(yè)公司研制出了自己的應(yīng)用系統(tǒng),其中比較典型的有:1.微軟的HoneyMonkey(蜜猴)系統(tǒng)文獻[4]中提到,蜜猴通過自動化的Web巡邏實現(xiàn)對有害URL的主動訪問,從而主動發(fā)現(xiàn)惡意代碼。蜜猴系統(tǒng)使用了超過5000個初始的惡意URL網(wǎng)站列表,這些URL的獲取是通過搜索引擎搜索hosts文件中的被阻斷--2哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文URL列表來的。蜜猴測試指定的URL是否是惡意網(wǎng)站,是基于虛擬機與沙箱技術(shù),檢
8、測非預(yù)期執(zhí)行的文件和對系統(tǒng)的修改。每個蜜猴是一個運行在虛擬機上的打著不同級別補丁的WindowsXP系統(tǒng)。最初是一個沒有打任何補丁的蜜猴在網(wǎng)絡(luò)上查找潛在的惡意站點。當(dāng)某個站點被發(fā)現(xiàn)安裝了惡意代