【摘 要】隨著互聯網的不斷發(fā)展，網頁木馬（drive-by download）這一新形態(tài)的攻擊形式已經成為了互聯網的主要威脅之一，并成為了惡意代碼傳播最主要的途徑。針對網頁木馬作為一種特殊的惡意代碼形式，傳統(tǒng)的檢測機制，無論是基于內容的（如網絡入侵檢測系統(tǒng)、防病毒軟件），還是基于行為的（如防火墻、主機入侵檢測系統(tǒng)），都不能對其進行有效的檢測。因此，如何對這一攻擊形態(tài)進行有效的檢測與防護已成為了網絡安全領域的研究熱點之一。本文以提高客戶端對網頁掛馬的檢測和防護能力為目標，圍繞網頁掛馬的攻擊本質及對其進行檢測的關鍵技術展開研究。

【關鍵詞】網頁木馬；模塊間通信；ActiveX；漏洞特征；客戶端蜜罐[1]

【Abstract】Drive-by download attack is one of the most severe threats to Internet users. Typically， only visiting a malicious page will result in compromise of the client and infection of malware. By the end of 2008， drive-by download had already become the number one infection vector of malware. The downloaded malware may steal the users' personal identification and password. They may also join botnet to send spams， host phishing site or launch distributed denial of service attacks.

【Key words】Drive-by Download；Inter-Module Communication；ActiveX；Vulnerability-based Signature；Client-side Honeypot

0.引言

隨著信息化技術的不斷發(fā)展，互聯網（Internet）已經成為了人們生活中越來越不可缺少的組成部分，以CNNIC公布的統(tǒng)計報告[CNNIC 2013]為例，截至2013年12月中國互聯網用戶的數量已經達到了6.18億，平均每周上網時長達25小時。在帶來便利的同時，互聯網上也存在著各種各樣的安全威脅，例如網絡蠕蟲、釣魚網站、網頁掛馬等，其中網頁掛馬是最近幾年發(fā)展最為迅猛，危害最為嚴重的網絡威脅之一，以趨勢公司2013年公布的安全報告 [Trend2013] 為例，網頁木馬已經成為互聯網用戶感染惡意代碼最主要的來源。面對這一新形態(tài)的安全威脅，傳統(tǒng)的基于內容的檢測機制（如網絡入侵檢測系統(tǒng)、殺毒軟件等）或基于行為的檢測機制（如防火墻，主機入侵檢測系統(tǒng)[2]等）并不能提供較為有效的防護。而與此同時，互聯網上的應用，尤其是網絡支付、網絡購物、網絡游戲等涉及資金的互聯網應用正在不斷的普及。因此，如何更好的保護互聯網用戶的安全，如何更好的維護互聯網經濟的生態(tài)環(huán)境，已經成為了一個亟待解決的問題。

針對這一個問題，本文以提高PC客戶端對網頁木馬的檢測和防護能力為目標，對網頁木馬的攻擊過程進行深入的研究分析。在分析結果以及對通信流進行抽象建模的基礎上，本文提出了一種基于模塊間通信流監(jiān)視的入侵檢測機制。

1.研究目標

為了應對網頁掛馬這一安全威脅，除了上面提到的四種傳統(tǒng)的檢測機制，研究人員已經在各個層次上提出了一些新的解決方案，例如通過對服務器端的注入攻擊進行防護，阻止網頁被掛馬；在網關接入層對網頁和腳本進行動態(tài)修改，植入安全防范代碼；使用客戶端蜜罐等等。但這些方案都有一定的不足：針對服務器的防護無法阻止網站擁有者為了經濟利益而故意掛馬；網關層的植入僅能應對采用明文傳輸的網頁及特定語言編寫的腳本；客戶端蜜罐僅僅用于檢測，無法提供實時防護等?；谶@一現實，本選題的研究目標是，面向網頁木馬這一新形態(tài)的安全威脅，對其機制進行研究，提出一種更有效的入侵檢測技術。并基于該機制，開發(fā)一套新的主機入侵檢測系統(tǒng)，使其能夠為當前最廣泛使用的瀏覽器（IE）及其插件（ActiveX）提供有效的防護。該系統(tǒng)相較于現有的研究成果，應具有相當或更高的檢出率，相當或更低的誤報率，更廣的適用范圍以及更好的性能。

2.研究內容

2.1面向網頁木馬的主機入侵檢測技術

為了躲避靜態(tài)檢測，網頁木馬的原始攻擊代碼往往具有很大的靈活性，但在發(fā)動攻擊的時刻，為了觸發(fā)組件或插件中的漏洞，交互的內容必須滿足特定的條件（例如傳入參數的長度），鑒于這些條件具有較強的不變性，因此本系統(tǒng)選擇使用這些交互內容作為入侵檢測的數據來源。為了使該技術具有更好的實用性，本文選擇微軟的IE作為防護目標進行系統(tǒng)開發(fā)。對于IE來說，由于其瀏覽器組建和ActiveX插件都是COM對象，因此模塊間的交互內容即為COM通信流，相應的，COM通信流獲取就成為整個檢測方案的前端部分。

2.2 ActiveX插件模擬技術

為了提高攻擊的成功性，網頁木馬通常會包含針對多個漏洞的攻擊代碼，由于本文開發(fā)的檢測系統(tǒng)是基于高交互蜜罐的，因此插件的豐富程度對檢出率有著較大的影響。但各種插件之間可能存在版本或功能的互斥性，本文還將對ActiveX插件的模擬技術進行研究。

2.3網頁木馬重放技術

由于網頁木馬的生存周期較短，難以作為測試集供調試、驗證使用，因此網頁木馬的重放技術也是本文的一項研究內容。

3.關鍵技術

本研究針對網頁木馬這一互聯網上最主要的安全威脅形式進行了深入的分析，根據其攻擊的特點，提出了一種全新的基于模塊間通信的網頁木馬檢測及防護技術。

滲透攻擊檢測系統(tǒng)由兩個主要組成部分構成：通信監(jiān)聽模塊和檢測模塊。通信監(jiān)聽模塊負責對瀏覽器內部各模塊間的通信進行監(jiān)聽，并生成相應的安全事件。檢測模塊將監(jiān)聽模塊捕獲的安全事件序列與漏洞庫中的特征進行比較，進而判定是否發(fā)生了滲透攻擊事件。本研究的關鍵技術如圖1所描述：

4.研究成果和意義

本項目針對網頁木馬這一互聯網上最主要的安全威脅形式進行了深入的分析，根據其攻擊的特點，提出了一種全新的基于模塊間通信的網頁木馬檢測及防護技術。

基于該技術，可以適用于目前市場占有率最高的微軟 Internet Explorer（MSIE）瀏覽器的網頁木馬檢測系統(tǒng)。在實際環(huán)境中可以為網絡應急響應部門或法律執(zhí)行部門提供技術支持，協(xié)助其掛馬網頁的監(jiān)測和事件處理；也能夠對運營商、網絡服務提供商、反病毒廠商提供數據支持，能夠幫助其提高服務質量；對校園網絡及個人計算機應用提供服務，提高其上網的安全性。

5.結束語

本文提出的技術及實現的原型系統(tǒng)雖然具有較好的測試結果，但也存在著一些不足：

首先，本文實現的原型系統(tǒng)僅能檢測使用顯示方法調用發(fā)動的攻擊，但并不是所有的攻擊都是基于這種形式，例如使用惡意Flash文件利用的漏洞，使用惡意PDF利用的漏洞及使用惡意圖像文件發(fā)動的攻擊。為了檢測這種類型的攻擊，可以為原型系統(tǒng)添加針對相應文件類型進行的特殊檢測方式。

其次，本文提出的方法是基于特征的，雖然基于漏洞的特征具有較好的準確率，但還是無法對特征庫中不存在的漏洞進行防護。針對這一缺點，可以在原型系統(tǒng)中添加基于異常的檢測機制，例如調用參數中是否包含超長字符串，單一網頁使用的ActiveX插件的數量是否過多等。

最后，本文使用的特征尚為手工提取，效率低、易出錯。鑒于現有工作中已經包含自動化的提取方式，且諸如BitBlaze[4]等著名分析平臺已開源，可進一步研發(fā)自動化的特征提取方式。同時，本文使用的漏洞均來自CVE等漏洞庫或捕獲的網頁木馬，限制了防護的響應時間，下一步可在特征自動提取技術[5]的基礎上研究常見漏洞的挖掘技術。 [科]

【參考文獻】

[1]諸葛建偉，韓心慧，周勇林，宋程昱，郭晉鵬，鄒維.HoneyBow：一個基于高交互式蜜罐技術的惡意代碼自動捕獲器，通信學報，2007，12，28（12）：8-13.

[2]蔣建春，馬恒太，任黨恩，卿斯?jié)h.網絡安全入侵檢測：研究綜述，軟件學報，11（11）：1460-1466.

[3]張慧琳，諸葛建偉，宋程昱，韓心慧，鄒維.基于網頁動態(tài)視圖的網頁木馬檢測方法研究，清華學報，2009年增刊.

[4]諸葛建偉.網絡入侵檢測與行為關聯分析技術研究，博士研究生論文，2006.

[5]張昊，陶然，李志勇.判斷矩陣法在網頁惡意腳本檢測中的應用，兵工學報，2008.