周一至周五 | 9:00—22:00

期刊论文网 > 工业技术论文 > 计算机自动化技术论文 > 杂志社自动下载行为检测

杂志社自动下载行为检测

2019-06-10 17:22:53来源:组稿人论文网作者:

今朝,许多恶意网页仅操作通例的Web编程技能使得欣赏器自动下载木马等恶意软件 并拐骗用户执行。这种恶意行为被称为自动下载。欣赏器中现有的防止机制并不能有效地识别这种进攻。针对此类恶意行为,提出了一种防止要领。该要领通过监控网页中能导致自动下载的操纵,并在下载实际产生时判定是否由用户触发,来识别自动下载行为并加以阻断。此防止要领已经在WebKitGtk+2.8.0和Chromium 38.0.2113.1两个欣赏器中实现,并举办了评估:两个检测防止系统针对现存的进攻样本均无误报和漏报,特另外机能开销别离为1.26%和7.79%。尝试功效表白,该要领可以或许有效地计较机 网络 监测并阻断自动下载进攻且机能开销较小。

0引言

今朝,许多恶意网页都存在将进攻者的木马自动下载到用户主机的行为,并在下载后拐骗用户执行进攻者的木马。本文将这种进攻称为自动下载。在2014年12月至2015年3月收集到的68296条恶意网页进攻记录中,有58425条进攻记录包括自动下载行为,占所有进攻记录的85.55%。

与DrivebyDownload[1]进攻对比,自动下载型进攻固然不能在恶意软件下载后自动运行,可是进攻页面凡是会拐骗用户,让用户相信下载下来的恶意软件是用户需要的、正常的软件或插件,诱利用户执行。

譬喻,图1是一个包括自动下载行为的恶意网页,在网页打开后3s,会自动下载一个名为“microsoft xps document writer__3039_i1755271595_il358621.exe”的文件。用户按照如图1网页中所给的信息觉得本身下载的是一个虚拟打印措施;但实际上,这是一个恶意应用。用户点击运行这个措施的时候,并不能像用户期望的那样安装虚拟打印机,而是在用户的主机上运行了一个木马措施,让用户主机成为进攻者僵尸网络中的一台“肉机”。

此类进攻并没有操作任何欣赏器裂痕,仅操作欣赏器的正常机制和现有的Web技能就可以或许将进攻者的木马下载到用户当地,并诱利用户执行。尽量并非所有的用户城市运行自动下载的恶意应用;可是其遍及撒网的方法,仍然使进攻者可以或许得到大量的“肉机”。

自动下载为用户的计较机安详带来了很大的威胁;可是,欣赏器现有的安详机制并不敷以抵制自动下载进攻。

主流欣赏器对恶意网页的防止要领是黑名单机制。以Chrome欣赏器为例,其在加载网页前,先检测此网址是否在预设的黑名单中。假如在,则认为其是恶意网页;不然认为其是正常网页。这种黑名单机制实现简朴、效率高,对用户体验的影响很是低;可是,操作黑名单机制来检测网页自动下载行为并不完全有效。黑名单列表需要实时更新来担保功效的精确性。对付新呈现的未知恶意网页这种要领存在可被进攻者操作的时延窗口。

欣赏器的反弹窗机制也对自动下载有必然的拦截结果;但遗憾的是,这种防止机制只能拦截操作自滚动窗触发的下载,并不能拦截所有的自动下载方法。

当前的安详东西对付此类进攻的检测,凡是是在下载完成后,通过扫描文件是否包括恶意措施的特征码来判定下载文件是否是恶意软件,并不能在事前就阻止自动下载的产生。并且,这种要领对付未知木马的检测往往无能为力。

在恶意网页研究规模,今朝也没有研究者专门对此类操作欣赏器正常机制和Web技能来将木马在未经用户同意的环境下自动下载到用户主机上的行为举办研究。

为此,本文提出了一种检测要领,以应对网页中的自动下载行为。

自动下载的要害特征在于不经用户交互就触发下载操纵。通过在欣赏器中插手相应的检测模块,基于欣赏器的用户交互机制判定下载操纵或导致下载的要领是否由用户触发,从而判定该下载行为是否是自动下载。本文在WebKitGtk+2.8.0和Chromium 38.0.2113.1中实现了相应的原型系统。尝试证明本文提出的要领可以有效识别出自动下载,针对现存的进攻样本无误报和漏报,特另外机能开销别离为1.26%和7.79%,完全在可接管范畴内。

栏目分类