王玉璽++卞鳳++周文軍

摘要：Web應用型惡意代碼對網絡環(huán)境造成了極大的安全威脅，針對該類惡意代碼種類繁雜、檢測防御困難等問題，對其攻擊原理進行了分類描述；并以靜態(tài)、動態(tài)檢測方法為基礎，先后分析了靜態(tài)特征碼和動態(tài)行為兩種常用Web惡意代碼檢測技術的檢測機制，指出了兩種技術的優(yōu)缺點；最后對動靜結合檢測技術的研究方向進行了展望。

關鍵詞：Web惡意代碼 攻擊原理 靜態(tài)檢測 動態(tài)檢測

中圖分類號：TP309.5 文獻標識碼：A 文章編號：1007-9416（2016）12-0218-02

1 Web惡意代碼的威脅現狀

Web應用作為一種常見的網絡應用方式被廣泛使用，而針對Web應用的惡意代碼問題對互聯網的安全構成了嚴重威脅。根據2016年1月發(fā)布的《2015年度互聯網安全報告》，2015年新發(fā)現的惡意代碼數為1.45億個，較2014年增加了5%；從惡意代碼類型分析，前十位的如廣告推廣類木馬、惡意下載器、間諜程序等均與Web應用相關。360互聯網安全中心在2015年12月公布的《2015年度中國網站安全報告》數據中指出，其網站安全檢測平臺2015年共掃描各類網站231.2萬個，掃出存在漏洞的網站101.5萬個，占比為43.9%，較2014年增長了64.5%；從攔截漏洞攻擊次數最多的漏洞類型來看，大部分仍是針對Web應用。

以傳播惡意代碼為目的的Web惡意鏈接遍布網絡，用戶訪問這些惡意鏈接時，主機被惡意代碼感染。攻擊者利用這些惡意代碼盜取用戶主機私密信息，如賬號、密碼、網銀信息等；此外，攻擊者還會利用大量受感染的主機發(fā)起分布式拒絕服務攻擊。以上行為導致了嚴重的安全后果，因此，實現對Web應用惡意代碼的快速分析檢測，對于保護互聯網安全具有重要意義。而攻擊者常變換代碼傳播、攻擊的方法以應對現有的防火墻和入侵檢測技術，給惡意代碼的檢測防御帶來困難。

2 Web惡意代碼的攻擊原理

惡意代碼又被稱作惡意軟件，主要是指在未經系統(tǒng)使用者授權的情況下運行，以破壞系統(tǒng)可用性、竊取系統(tǒng)信息為目的的計算機程序或代碼，主要的存在形式如病毒、木馬、蠕蟲、后門等[1]。而針對Web應用的惡意代碼是惡意代碼家族的一種特殊表現形式，該類惡意代碼存在于Web應用中，當用戶通過網絡訪問這些Web應用時，惡意代碼被下載到客戶端執(zhí)行，以完成攻擊者的入侵目的。由以上定義可知，在一次完整的Web惡意代碼傳播過程中，涉及三個關鍵角色：包含惡意代碼的Web站點、用戶、攻擊者；以這三個角色出發(fā)分析Web惡意代碼的攻擊原理。

2.1 基于社會工程學的攻擊方式

攻擊者借助社會工程學原理[2]，利用Web用戶好奇、貪心等人性弱點，誘騙用戶下載并安裝惡意代碼軟件，以達到入侵目的。例如攻擊者在Web站點中添加某些免費的熱門軟件鏈接，此鏈接的目標是包含惡意代碼的文件，用戶出于需要下載并安裝了該鏈接目標文件，攻擊者輕而易舉的完成了入侵過程。社會工程學攻擊的另一種典型方式是使用釣魚網站，攻擊者通過鏈接誘騙用戶訪問與真實網站相似度極高的釣魚網站，以竊取用戶機密信息或自動安裝惡意代碼軟件等?；谏鐣こ虒W的攻擊方式最典型的特點是利用用戶的認知偏差，而非利用系統(tǒng)本身漏洞完成攻擊過程。

2.2 基于路過式下載的攻擊方式

路過式下載國外稱為Drive-by download[3]，在典型的路過式下載的攻擊方式中，攻擊者針對用戶瀏覽器或系統(tǒng)漏洞，將包含惡意代碼的腳本寫入Web站點中，當用戶訪問包含惡意代碼的網頁時，會在不知情的情況下自動下載并安裝惡意代碼軟件，從而完成攻擊者的入侵目的。一次完整的路過式下載攻擊可分為三個階段。

2.2.1 攻擊者植入惡意代碼

攻擊者首先通過Web服務器漏洞將準備好的惡意代碼植入到具有較高訪問量的Web站點頁面中。被植入惡意代碼的主要功能是通過iframe、網頁重定向等技術將用戶自動引導至惡意軟件宿主頁，這種自動引導可能是直接引導至宿主頁，也可能是經過多次跳轉后到達宿主頁。

2.2.2 掃描并利用用戶漏洞

當用戶訪問Web站點中包含惡意代碼的頁面時，站點服務器將該頁面發(fā)送到用戶瀏覽器執(zhí)行，執(zhí)行過程中惡意代碼會掃描當前用戶系統(tǒng)可利用漏洞，從而得到所需的系統(tǒng)權限，為下載、安裝惡意軟件做準備。常見可利用的漏洞有瀏覽器API型漏洞、瀏覽器解析型漏洞、內存溢出型漏洞等，攻擊者常會針對系統(tǒng)、瀏覽器、插件版本的多個漏洞編寫惡意代碼，已實現攻擊效果的最大化。

2.2.3 下載并安裝惡意代碼軟件

攻擊者通過用戶系統(tǒng)漏洞得到相應的系統(tǒng)權限后，惡意代碼的核心部分得以運行，用戶被自動引導至宿主站點，在不知情的情況下下載、安裝惡意代碼軟件，惡意代碼軟件常見的類型有木馬、病毒、后門程序、間諜軟件等。攻擊者使用這些惡意軟件竊取用戶的私密信息，或將用戶主機加入僵尸網絡，進行其它類型的網絡攻擊。

綜合以上攻擊原理分析，與社會工程學攻擊方式相比，路過式下載攻擊方式是利用用戶系統(tǒng)漏洞，在用戶不知情的情況下自動完成，具有較高的隱蔽性和更大的危害性，也是攻擊者普遍使用的一種惡意代碼傳播方式，以這種攻擊方式為基礎，分析Web惡意代碼的檢測技術。

3 Web惡意代碼的檢測技術

Web惡意代碼的種類數量日益增多，快速有效地檢測出被植入惡意代碼的網頁并及時清除惡意內容，可有效阻止攻擊者對用戶的入侵。國內外針對惡意代碼主流的檢測技術主要可以分為兩類：靜態(tài)檢測和動態(tài)檢測[4]。下面以這兩類中較為常用的檢測技術進行分析。

3.1 靜態(tài)特征碼檢測技術

目前，大部分主流反惡意代碼軟件對Web惡意代碼的檢測廣泛使用靜態(tài)特征碼檢測技術[5]。攻擊者一般用腳本語言生成Web惡意代碼，這部分代碼從機器角度觀察就是一段二進制字符串序列，而同一類型Web惡意代碼入侵手段相同，其部分特征代碼也相同。對包含惡意代碼的Web頁面進行逆向分析，歸類提取出該惡意行為所對應的字符串序列，即可作為此類Web惡意代碼的特征標識，不同類型的Web惡意代碼提取出的特征字符串共同組成惡意代碼特征碼庫。當對未知網頁進行檢測時，只需將網頁源碼與特征碼庫中的特征字符串進行比對，若匹配成功，則可判斷被檢測的Web頁面中包含惡意代碼。

靜態(tài)特征碼技術對已知的Web惡意代碼檢測快速簡單、準確性高、誤報率低。但根據原理可知，其檢測的過程完全依賴于特征碼庫，如果某種惡意代碼的特征碼并未加入特征碼庫，那么該檢測方法失效。由于新類型的Web惡意代碼不斷出現，攻擊者常使用的多態(tài)、變形、混淆技術使得同一類型Web惡意代碼也具有不同的特征碼，從而導致靜態(tài)特征碼技術對未知惡意代碼的檢測效果較差。

3.2 動態(tài)行為檢測技術

從Web惡意代碼攻擊行為分析，與其它類型的惡意代碼對比呈現行為的特殊性。Web惡意代碼一般通過客戶端瀏覽器完成植入，此過程中會盡可能的利用客戶端系統(tǒng)漏洞，如用戶瀏覽器漏洞、ActiveX控件漏洞，PDF對象漏洞、Flash播放插件漏洞等，而在利用漏洞時會針對性地調用某些典型函數以達到入侵目的；此外，在入侵后的執(zhí)行階段會調用所需的dll庫以完成修改注冊表、關閉殺毒軟件、后臺傳輸信息、遠程控制等操作。以上入侵、執(zhí)行過程中所表現出的行為特征可應用于Web惡意代碼檢測與分析，將這些具有共性的行為特征匯集組成Web惡意行為規(guī)則庫，同時定義Web應用程序的合法行為規(guī)則庫，在Web應用執(zhí)行過程中，實時監(jiān)控其行為，綜合多種行為所歸屬的規(guī)則庫，進而判斷該應用中是否包含Web惡意代碼。對惡意行為特征的動態(tài)實時監(jiān)控可以通過虛擬機或沙盒系統(tǒng)實現，虛擬機和沙盒系統(tǒng)提供的虛擬環(huán)境是對真實客戶端系統(tǒng)的仿真，能像真實操作系統(tǒng)一樣運行Web應用程序，并動態(tài)跟蹤、收集應用程序的運行狀態(tài)及產生的行為，作為判斷程序是否惡意的基礎。

動態(tài)行為檢測的一種典型實現方法是通過高交互客戶端蜜罐[6]。此類蜜罐系統(tǒng)中安裝了真實的客戶端操作系統(tǒng)和瀏覽器，存在Web惡意代碼入侵所需要的各種安全漏洞；結合網絡爬蟲技術，蜜罐系統(tǒng)可以通過瀏覽器主動訪問各種Web應用，并監(jiān)視和記錄訪問過程中客戶端系統(tǒng)中的所有行為和狀態(tài)變化；訪問完成后，對記錄的行為和系統(tǒng)狀態(tài)變化進行分析，以行為特征判斷Web應用中是否存在惡意代碼。

動態(tài)行為技術重點關注Web惡意代碼運行時的行為特性，而非代碼本身的編碼序列，所以相對于靜態(tài)特征碼技術，不受多態(tài)、變形、混淆技術的影響，對已知或未知類型的Web惡意代碼都可以檢測，具有直觀、快速等特點。但該檢測技術需要依托一個真實的計算機系統(tǒng)實現，因此系統(tǒng)代價和時間代價較高；同時，由于操作系統(tǒng)、瀏覽器、插件的漏洞版本眾多，如果檢測環(huán)境中安裝的漏洞版本與惡意代碼入侵所需利用的漏洞對象不匹配，就會使得該惡意代碼無法運行，檢測不出其行為特征，從而導致漏報。如何有效降低動態(tài)行為檢測技術的漏報率是該領域研究的重點。

4 結語

Web惡意代碼的各類檢測技術原理不同，優(yōu)缺點各異。靜態(tài)檢測技術準確性高、誤報率低，但對未知惡意代碼的檢測效果差；動態(tài)檢測技術對可快速識別未知類型惡意代碼，但漏報率高，檢測效率低；兩種檢測技術都存在較為明顯的缺陷。近年來，動靜結合的混合檢測技術成為研究熱點，它結合了靜態(tài)、動態(tài)兩類檢測技術的優(yōu)點，改進了兩類檢測技術存在的缺陷，有效提高了檢測的準確率和檢測效率。Web惡意代碼處于不斷地發(fā)展變化中，更多新型的植入和隱藏技術被應用于反檢測領域，因此，應綜合運用多種檢測技術才能達到全面防御目的。

參考文獻

[1]Egele M，Scholte T，Kirda E，et al.A survey on automated dynamic malware-analysis techniques and tools[J].ACM Computing Surveys，2012，44（02）：6.1-6.42.

[2]Kevin Mitnick. The Art of Deception：Controlling the Human Element of Security[M].New York：Wiley，2005.

[3]M Cova，C Kruegel，G Vigna.Detection and analysis of drive-by-download attacks and malicious JavaScript code [J].International Conference on World Wide Web，2010，26（01）：281-290.

[4]李陽.惡意代碼檢測及其行為分析[D].西安：西安電子科技大學，2010.

[5]劉旭.惡意代碼的檢測技術研究[D].長春：吉林大學，2014.

[6]諸葛建偉，唐勇，韓心慧，等.蜜罐技術研究與應用進展[J].軟件學報，2103，24（4）： 825-842.