网页信誉引擎的分析与设计.pdf

网络安
网页信誉引擎的分析与设计
薛永大
中国民航大学电子信息工程学院天津300300
摘要:本文在研究了木马和钓鱼网页检測技术的基础上,设计了一个网页信誉引擎,可以对挂马网页和钓鱼网页进行实
时检测,输出网页的信誉信息。通过对系统的功能需求进行分析,把系统划分为流量还原模块、任务识别分发模块、检测模
块和结果接受反馈模块,并且在对各模块需求分析的基础上,对子模块的工作流程进行了详细设计。
关键词:网页木马;钓鱼网页;网页信誉;引擎设计
0引
木马主要是利用系统漏洞及第三方软件漏洞,用户访问被挂
随着国民经济和网络基础设施的进一步发展和完善,网马的页面时,如果系统没有更新木马中利用的漏洞补丁,则
民数量大幅增加,互联网络已经深入到我国社会生活的各个会执行木马程序。
层面。根据国家互联网应急中心( CNCERT/CC)2011年9月发1.2网络钓鱼检测技术
布的《 CNCERT互联网安全威胁报告》,仅2011年9月,境网络钓鱼主要是指利用互联网进行的一种欺诈行为。它通过
内感染网络病毒的终端数约为626万个,境内被纂改网站数社会工程学或欺骗技术诱骗用户提供其个人账户和密码等个人
量为2227个,其中被纂改的政府网站数量为181个。另据隐私资料,获得用户的某种身份信息,进而窃取用户的个人财产。
中国反钩鱼网站联盟(APAC发布的消息,联盟累计认定并处
网络钓鱼的种类多种多样,但是就其攻击手法而言,可
理钓鱼网站66360个。各种网页木马和网络钓鱼诈骗行为严以将其实施过程分为诱骗阶段和信息获取阶段,在诱骗阶
重危害了网络用户的个人隐私和财产安全。
段,攻击者通常使用邮件或即时通讯软件向用户发送中奖等
为了保证互联网服务的安全,迫切需要对网络中的网页虚假信息诱导用户点击链接,这个链接通常指向攻击者精心
木马和钓鱼网页进行实时的检测和防御。这可以通过在网络设计的一个仿冒品牌网站,当用户输入个人账户密码等信息
运营商的服务端对恶意网页的访问进行阻断来实现。通过在时,就会导致信息泄露。
运营商网络接口处部署检测引擎,获得网页的信誉信息,当2网页信誉引擎的分析与设计
用户访问恶意网页时,业务监控网关可以根据网页的信誉信2.1系统需求分析
息拦截恶意网页,从而保障用户的安全。基于此,本文设计
系统目标是实现对互联网上网页的检测,检测网页是否
了一个网页信誉引擎,可以实现对挂马网页和的鱼网页的检挂马,是否是钓鱼网页,输出网页的信誉结果,以提供给网
测,输出网页的信誉信息。
关设备对恶意网页实时阻断,保障互联网用户的安全。
1木马和钓鱼网页检测的相关研究
系统的输人是来自互联网的镜像流量,检测的网页主要
木马检测技术
针对HTTP访问业务、由于基于HTTP协议传输的文件可能
木马程序是指表面上有某种有用的功能,实际上隐含恶有多种格式,网马和钓鱼检測模块可以根据其主要针对的文
意代码的计算机程序,通常依附在其它有传播能力的病毒上件类型进行任务分流,实现对分析任务的检测,并且将检测
或者通过人工植入的方式传播,进驻宿主机器,接受植入者结果输出到数据库,具体来说要完成以下功能需求:
的指令,搜集用户隐私信息,进行盗号等危险操作。
(1)对镜像网络流量中的HTTP数据流还原出文件及其
网页挂马是指攻击者在窃取获取网站或者网站服务器对应信息。
的部分或者全部权限后,在网页文件中插入木马程序,这些
(2)深度识别还原出的文件类型,根据检測模块配置的
简介:薛水大(1987-),男、上研究生、研究方向:通信与信息系统、信息与网络安全
12三全技朮与用2012.11
万方数据
过全
检测类型调取相关模块检測。
2.5网马检測模块的设计
(3)检测模块实现对任务的检测功能,并返回检测结果。此模块设计使用黑名单库和网马特征库相结合的方式
(4)检测结果按照需要反馈至数据库。
检测网页木马,黑名单库中包含确知的挂马网页对应URL。
2.2系统功能框图
系统采用的黑名单匹配基于这样一个思想:对于一个网页,
针对上一节的功能需求,把系统按照功能需求划分为流如果其对应的URL或网页内链接的URL在黑名单库中,就
量还原模块、任务识别分发模块、检測模块、结果接收反馈判定其为挂马网页。网马特征库由木马的特征规则构成,每
模块和数据库这五部分,整个系统的流程框图如图1所示。一条特征对应一个威胁值。
现网的镜像流量经流量还原模块还原出使用HTTP协议
网马检测模块的处理,首先从任务分发模块获得检测任
传输的文件和其对应的信息,经由任务识别分发模块识别任务,再对输入文件进行HTML解析,提取JS脚本及URL链
务类型并调用合适的检测模块进行分析,检测模块把任务的接,解密经过加密的JS脚本。然后进行黑名单匹配,如果匹
分析结果发送给结果接收和反馈模块,该模块连接数据库井配上黑名单就返回结果,流程处理结束;如果没有匹配上
把结果更新到数据库中。
就进行子链接的匹配,如果此次匹配上,也返回处理结果,
网马检测模块
流程结束;没有匹配上,就进行特征码匹配检测,匹配上多
流量还原
任务识别
结果接收和
模块
反馈模块
数据库
分发模块
条特征规则,就把相应的威胁值相加,整个流程处理完毕,
钓鱼网页检测模
返回检测结果。
图1系统流程框图
2.6钓鱼检测模块的设计
2.3流量还原模块的设计
钓鱼模块从任务识别分发模块获取任务后,首先进行域
还原模块由数据包获取子模块抓取镜像来的TCP流量名的自名单匹配,如果匹配上白名单就返回检测结果,如果
数据包,识别承载在TCP流量上的应用层数据,提取出HTTP没有匹配上域名白名单,再进行域名黑名单过滤,如果匹配
协议传输的文件和其对应信息。
上黑名单,反馈检测结果,如果没有匹配上域名黑名单,再
基于HTIP协议可以传输多种类型和大小的文件,还原后。进行钓鱼模板库匹配,将匹配结果反馈给结果发送模块。
的文件中可能包含许多无效的文件,例如,访问网站错误时的2.7结果接收反馈模块的设计
响应码页面、Word文档和大小为儿百字节的文件,这些网页没
此模块主要负责缓存检测模块上报来的结果信息,连接
有实际的检测意义,并且频繁的文件读写工作加大还原模块的数据库,把结果信息更新到数据库中的相关表项中。
负荷,影响其处理性能。因此,在还原模块采用了根据文件类
型、后缀名和文件大小的过滤机制,只有同时满足这三种过滤
当接收线程收到检测结果后,把结果插入接收队列,查
条件,オ会保存。用户可以根据自身的网络模型,配置适合自找缓存中是否有该结果中URL的信息,如果没有就加入缓
身环境的过滤区间,通过这种处理方式,减少还原模块的压力
存,同时发送结果至数据库中;如果缓存中已有该URL的
2.4任务分发模块的设计
结果,就比较URL状态是否改变,如果有变化就更新本地
任务识别分发模块是一个调度模块,此模块主要进行缓存信息,同时更新数据库中URL的状态,如果URL状态
测任务的分配,每个检測模块的检测类型用户可以通过配置没有变化,则不做更新。
文件配置。
3结束语
模块首先遍历还原所保存文件的信息,根据信息将文件
针对日益严峻的网络安全形势,本文研究和设计了一个
加载到内存,放入到缓存队列里面,然后删除信息文件,打基于