一種基於行為特徵的網頁木馬檢測方法
2023-10-21 18:50:17
專利名稱:一種基於行為特徵的網頁木馬檢測方法
技術領域:
本發明專利屬於計算機安全領域,主要利用瀏覽器瀏覽含有木馬程序的網頁,通過對系統進程調度、內存變化等行為,來實現快速、準確地檢測網頁中是否含有木馬,從而解決網絡中有害網頁快速檢測,為上網用戶提供安全的網絡環境。
背景技術:
計算機病毒、木馬、間諜軟體和惡意代碼是近幾年來計算機網絡最主要的安全威脅。在計算機病毒、木馬、間諜軟體和惡意代碼的傳播途徑中除垃圾郵件外,還有一條重要的途徑就是利用構造特殊的網頁將病毒、木馬傳播到訪問該網頁的用戶計算機中。這種網頁主要利用作業系統、瀏覽器、插件等的各種漏洞將可執行代碼傳播到用戶計算機上進行執行,或利用系統中的解析器、控制項的執行權限將網頁中的惡意代碼運行。由於這些特殊網頁的配置和編碼較為複雜,並且為了能夠躲避殺毒軟體查殺,大多由人工配置並且採用第三方軟體進行加密變形處理,因而成為黑客用來傳播木馬程序最為有效的方法。
網頁木馬即利用網頁代碼來傳播的木馬,本質在於網頁,而非木馬本身。這些特殊網頁通常是將木馬程序的執行代碼編碼成為網頁的組成部分,並配合特殊網頁代碼來激活木馬程序執行,因此在黑客群體和殺毒軟體公司、網絡安全防禦單位將其稱為網頁木馬。
2004年6月末,殺毒軟體公司從病毒的發作數量、危害程度綜合考慮,總結並發布了2004年十大病毒及病毒發展趨勢報告。報告結果顯示間諜軟體、QQ木馬和網路遊戲木馬等網頁木馬成為熱點。雖然木馬類病毒在傳播數量上還不及網絡蠕蟲,但其越來越明顯的盜竊特性,會給受害用戶造成更大更直接的損失。
2005年8月3日中國專業反病毒廠商之一日月光華軟體公司官方網站(中國殺毒網http://www.viruschina.com/)遭到黑客襲擊,網站被篡改,並攜帶病毒,經過反病毒廠商測試該網站共有三個病毒Exploit.HTML.mht.bb、Backdoor.PcShare.5.r和trojan.PSW.LMIR.U,網民瀏覽後電腦可能被植入木馬,而被黑客控制。這些病毒和木馬程序的傳播靠的就是網頁木馬。
在對網頁木馬的檢測中殺毒軟體公司積累了大量的經驗和特徵碼,然而系統漏洞、瀏覽器漏洞和第三方插件的漏洞層出不窮,而且入侵者也在不斷地對網頁木馬進行更新升級,並且採用加密和插入幹擾字符的方法來躲避檢測。用戶要躲避網頁木馬的攻擊,必須不斷的安裝補丁程序或者升級系統。但是每年每月甚至每一天都會有新的漏洞出現,就在2005年7月,國際報導美國微軟稱黑客正在瘋狂地試圖利用Windows中的兩處嚴重安全缺陷。其中的一個缺陷影響″色彩管理模塊″--處理顏色的一個Windows組件;另一個缺陷與微軟″Java虛擬機″的JView Profiler部分有關。微軟稱,該缺陷可以被用於控制用戶的個人電腦。在對漏洞信息的獲取上用戶和黑客是不對等的,黑客會最先知道和利用漏洞,而用戶不可能得到及時升級,這些用戶的計算機將長期受到黑客的控制。因此切斷網絡木馬的傳播途徑是防範木馬最有效的方法,網頁木馬檢測最主要的是要能檢測出隱藏在網頁代碼中的漏洞利用代碼。隨著新的漏洞的出現就會有新的網頁木馬產生,所以檢測、查殺網頁木馬將是個長期、艱巨的任務。
發明內容
為了查找出隱藏在網頁中的木馬程序,淨化網絡環境,保護網絡用戶,本發明提出一種基於行為特徵的網頁木馬的檢測方法,從而可快速判斷網頁木馬的存在,對其進行預先阻攔。
本發明的基本原理是當網頁中隱藏的木馬被運行時,系統必定產生一個新的進程而且此進程的父進程為瀏覽器進程,因此通過對系統進程的監控來快速、準確的檢測網頁中是否含有木馬程序。
本發明提出的一種基於行為特徵的網頁木馬方法,利用瀏覽器瀏覽含有木馬程序的網頁,通過對系統進程調度、內存變化等行為,來實現快速、準確地檢測網頁中是否含有木馬,從而解決網絡中有害網頁快速檢測,為上網用戶提供安全的網絡環境。其處理方法具體是a.使用瀏覽器瀏覽待檢測的網頁。
b.運行進程監控程序監視進程變化,看是否有新進程產生。
c.如果有新進程產生並且此進程的父進程為瀏覽器進程的話,就可以判斷此進程為木馬進程,瀏覽器所瀏覽的網頁中含有木馬程序。
d.在進程監控程序所列出的進程列表中找出新產生的木馬進程所對應的文件名,並在硬碟中找到該文件,執行拷貝操作,將該文件作為木馬樣本進行保存。
e.在瀏覽器的緩存空間所保存的網頁代碼中找到該文件所在的網頁連結。
f.將所保存的木馬樣本以及在網頁代碼中找到的木馬程序所在的網頁連結作為網頁木馬檢測結果。
監視進程變化看是否有新進程產生,是通過傳遞消息函數或枚舉來對進程列表進行監視的。
如何判斷一個新進程是否為木馬進程,通過判斷一個新進程的父進程是否為瀏覽器進程來實現的。如果有新進程產生並且此進程的父進程為瀏覽器進程的話,就可以判斷此進程為木馬進程,瀏覽器所瀏覽的網頁中含有木馬程序。
網頁木馬檢測結果包括木馬文件以及該木馬所在的網頁連結,首先在進程列表中找出新產生的木馬進程所對應的文件名,並在硬碟中找到該文件,執行拷貝操作,將該文件作為木馬樣本進行保存;然後在瀏覽器的緩存空間所保存的網頁代碼中找到該文件所在的網頁連結。
本發明提出的基於行為特徵的網頁木馬的檢測方法,具有以下優點(1)本發明提出的基於行為特徵的網頁木馬檢測方法,可以準確、及時地檢測出殺毒軟體不能檢測出的隱藏在網頁中的木馬病毒。
(2)本發明提出的基於行為特徵的網頁木馬檢測方法,具有簡單、易行的特點,非常適合用於網絡安全機構對網絡伺服器上的網頁木馬進行檢測。
圖1是基於行為特徵的網頁木馬檢測方法的總體流程圖。
具體實施例方式
本發明所提出的基於行為特徵的網頁木馬檢測方法,其總體流程如圖1所示。首先需要使用瀏覽器程序瀏覽待檢測的網頁,即使用瀏覽器程序運行待檢測的網頁代碼。木馬程序也是病毒的一種,因此木馬必定也是可以運行的程序,並且隱藏在網頁代碼中的木馬程序只有在使用瀏覽器運行該網頁後,木馬程序才能夠被激活並運行。只有在隱藏在網頁代碼中的木馬程序被運行的情況下,才能夠通過進程監控程序觀察到進程的改變。
使用瀏覽器程序將待檢測的網頁打開以後,立即運行進程監控程序來監視進程的變化,觀察進程列表中是否有新的進程產生。可以通過傳遞消息函數或者通過枚舉來通知有沒有新進程產生。如果瀏覽器程序所運行的網頁是安全的網頁,其網頁代碼中並不包含惡意的木馬程序的話,就不可能會有新進程產生,進程監控程序也不會觀察到進程列表發生變化;如果進程監控程序觀察到進程列表中有新的進程產生,而且所產生的新進程的父進程如果為瀏覽器進程的話,則可以判斷此進程必定為木馬進程,而瀏覽器所運行的網頁代碼中必定含有木馬程序。
接下來在進程監控程序所列出的進程列表中找出新產生的木馬進程所對應的文件名,因為此木馬程序在瀏覽器運行了含有該木馬程序的網頁代碼後,已經被拷貝到本地機器的硬碟中,因此可以在硬碟中找到該木馬程序,並將此文件進行複製,作為木馬樣本保存。
隨後在瀏覽器的緩存空間所保存的網頁代碼中搜索該木馬進程文件名。在網頁代碼中搜索到新產生的木馬進程名稱之後,同時在網頁代碼中可以找到該文件所在的網頁連結,該網頁連結也就是瀏覽器所運行的木馬程序所在的連結。
最後將所保存的木馬樣本以及在網頁代碼中找到的木馬程序所在的網頁連結作為網頁木馬檢測結果,並將檢測結果中的木馬程序提交至檢測中心的木馬特徵庫,然後將木馬程序所在的網頁連結作為有害連結提交至檢測中心。
權利要求
1.一種基於行為特徵的網頁木馬檢測方法,其特徵在於利用瀏覽器瀏覽含有木馬程序的網頁,通過對系統進程調度、內存變化等行為,來實現快速、準確地檢測網頁中是否含有木馬,從而解決網絡中有害網頁快速檢測,為上網用戶提供安全的網絡環境,其處理方法是a.使用瀏覽器瀏覽待檢測的網頁;b.運行進程監控程序監視進程變化,看是否有新進程產生;c.如果有新進程產生並且此進程的父進程為瀏覽器進程的話,就可以判斷此進程為木馬進程,瀏覽器所瀏覽的網頁中含有木馬程序;d.在進程監控程序所列出的進程列表中找出新產生的木馬進程所對應的文件名,並在硬碟中找到該文件,執行拷貝操作,將該文件作為木馬樣本進行保存;e.在瀏覽器的緩存空間所保存的網頁代碼中找到該文件所在的網頁連結;f.將所保存的木馬樣本以及在網頁代碼中找到的木馬程序所在的網頁連結作為網頁木馬檢測結果。
2.根據權利要求1所屬的一種基於行為特徵的網頁木馬檢測方法,其特徵在於其中的監視進程變化看是否有新進程產生,是通過傳遞消息函數或枚舉來對進程列表進行監視的。
3.根據權利要求1所屬的一種基於行為特徵的網頁木馬檢測方法,其特徵在於其中如何判斷一個新進程是否為木馬進程,通過判斷一個新進程的父進程是否為瀏覽器進程來實現的,如果有新進程產生並且此進程的父進程為瀏覽器進程的話,就可以判斷此進程為木馬進程,瀏覽器所瀏覽的網頁中含有木馬程序。
4.根據權利要求1所屬的一種基於行為特徵的網頁木馬檢測方法,其特徵在於包括木馬文件以及該木馬所在的網頁連結,首先在進程列表中找出新產生的木馬進程所對應的文件名,並在硬碟中找到該文件,執行拷貝操作,將該文件作為木馬樣本進行保存;然後在瀏覽器的緩存空間所保存的網頁代碼中找到該文件所在的網頁連結。
全文摘要
本發明屬於計算機安全領域,主要利用瀏覽器瀏覽含有木馬程序的網頁,通過對系統進程調度、內存變化等行為,來實現快速、準確地檢測網頁中是否含有木馬。本發明的基本原理是當網頁中隱藏的木馬被運行時,系統必定產生一個新的進程而且此進程的父進程為瀏覽器進程,因此通過對系統進程的監控來快速、準確的檢測網頁中是否含有木馬程序,從而解決網絡中有害網頁快速檢測,為上網用戶提供安全的網絡環境。
文檔編號G06F17/30GK1925494SQ200610152530
公開日2007年3月7日 申請日期2006年9月28日 優先權日2006年9月28日
發明者陶然, 李志勇, 王越, 張昊, 杜華 申請人:北京理工大學