网页挂马链的溯源和重现技术研究

发布时间：2017-06-24 12:07

  本文关键词：网页挂马链的溯源和重现技术研究，由笔耕文化传播整理发布。

【摘要】：网页挂马的攻击目标群体庞大,已经发展为传播最广泛,危害最严重的一种客户端攻击类型,而对网页挂马链的溯源定位和场景分析则是网页木马研究的重要基础和前提。本文将重点放在研究网页挂马链的溯源定位及场景重现技术上面,该技术可以有效地帮助我们进行网页挂马的分析和研究。本文首先介绍了网页挂马的机理,分析了网页挂马链和分发页面的特点,然后介绍了现今常见的检测手段,包括静态检测和动态检测技术。本文接着引出了网页挂马的溯源定位和场景重现技术,溯源定位技术就是根据被恶意攻击者挂马的网页,追溯其中包含的链接,抓取链接树的各个节点的相关信息并进行进一步的分析和追溯,最终得到整个链接树。而场景重现技术则是基于溯源定位技术之上的一个技术,它的目标是实现在某个特定时间以及某个特定的环境下,完整地将网页木马的攻击场景以及相关的数据保存下来,并且在之后的任何时间可以以设计好的形式将场景重新还原并展示出来。本文接着引入了网页动态视图的概念,通过网页动态视图的概念,我们可以找到进行溯源定位和场景重现的切实可行的办法。本文然后对本课题需要实现的网页挂马溯源定位和场景重现系统进行了需求分析和可行性验证,包括其中重要的溯源定位模块和场景重现模块。本文接着介绍了低交互的客户端蜜罐框架PhoneyC,深入分析了它的架构和功能函数,对它进行了一些测试。本文然后在PhoneyC的基础上进行了改造,构建了相应的数据结构,实现了内嵌链接的识别和递归分析以及脚本的自我解混淆,从而完成了溯源定位模块;然后基于轻量级关系型数据库SQLite和GUI框架wxPython,实现了网页动态视图的持久化和还原再现,从而完成了场景重现模块。溯源定位模块包括如下子模块:1)DOM模拟和告警子模块,2)页面解析子模块,3)脚本动态执行子模块,4)网页动态视图构造子模块;场景重现模块包括如下子模块:1)场景重现数据库,2)网页动态视图持久化子模块,3)网页动态视图恢复子模块,4)可视化界面。本文在上述两个模块的基础上开发完成了网页挂马链溯源定位及场景重现的原型系统。这个原型系统可以自动分析用户输入的Web页面,构建动态页面视图并予以可视化显示,从而支持对网页挂马的检测分析。这个原型系统具备以下这些特性:1)自动化,2)高效持久化,3)友好可视化,4)直观的结果展示。本文最后对该原型系统进行了相应的验证性测试和横向对比测试,测试结果表明,系统具有较强的识别能力和良好的场景展示和还原能力,可以有效存储网页场景,为分析网页挂马提供足够的帮助,也比类似的研究项目具有更强大的识别追踪能力。
【关键词】：网页挂马 网页动态视图 溯源定位 场景重现 内嵌链接
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.092
【目录】：

• 摘要5-7
• ABSTRACT7-11
• 1 绪论11-15
• 1.1 研究背景11-12
• 1.2 国内外研究现状12-13
• 1.3 研究目标与意义13
• 1.4 论文的主要内容和结构13-15
• 2 网页挂马溯源和重现的需求分析15-27
• 2.1 网页挂马简介和检测方法15-19
• 2.1.1 网页挂马15-16
• 2.1.2 网页挂马的内嵌链接16-18
• 2.1.3 网页挂马的常见检测方法18-19
• 2.2 网页挂马的溯源定位和场景重现19-21
• 2.2.1 溯源定位和场景重现技术简介19
• 2.2.2 溯源定位和场景重现技术的价值和意义19-21
• 2.3 网页动态视图21-24
• 2.3.1 网页动态视图的概念21-23
• 2.3.2 网页动态视图的意义23-24
• 2.4 需求分析24-26
• 2.4.1 总体需求分析24-25
• 2.4.2 溯源定位模块需求分析25-26
• 2.4.3 场景重现模块需求分析26
• 2.5 本章小结26-27
• 3 网页挂马溯源和重现的可行性分析27-39
• 3.1 PhoneyC的技术分析和基础测试27-35
• 3.1.1 客户端蜜罐技术27-28
• 3.1.2 PhoneyC功能和技术28-32
• 3.1.3 PhoneyC的测试和分析32-35
• 3.2 系统可行性分析35-38
• 3.2.1 溯源定位模块的可行性分析36-37
• 3.2.2 场景重现模块的可行性分析37-38
• 3.3 本章小结38-39
• 4 溯源定位模块的设计和实现39-47
• 4.1 模块设计39-40
• 4.2 具体实现40-46
• 4.2.1 DOM模拟子模块和告警子模块40
• 4.2.2 页面解析子模块40-43
• 4.2.3 脚本动态执行子模块43-44
• 4.2.4 网页动态视图构造子模块44-46
• 4.3 本章小结46-47
• 5 场景重现模块的设计和实现47-53
• 5.1 模块设计47
• 5.2 具体实现47-52
• 5.2.1 场景重现数据库48-49
• 5.2.2 网页动态视图持久化子模块49-50
• 5.2.3 网页动态视图恢复子模块50-51
• 5.2.4 可视化界面51-52
• 5.3 本章小结52-53
• 6 网页挂马溯源和重现的测试验证53-61
• 6.1 系统的用户输入接53
• 6.2 系统测试与有效性验证53-59
• 6.3 系统横向对比和分析59-60
• 6.4 本章小结60-61
• 7 结论与展望61-63
• 7.1 总结与结论61
• 7.2 本文不足之处61-62
• 7.3 未来研究方向与展望62-63
• 参考文献63-65
• 谢辞65-66
• 攻读学位期间发表的学术论文目录66

【相似文献】

中国期刊全文数据库 前10条

1 锈剑;;实战网页挂马 补漏洞防木马莫等闲[J];电脑爱好者;2008年20期

2 ;网页挂马少了 老病毒再度抬头[J];微电脑世界;2009年07期

3 王西芳;高宏;;网页挂马技术初探及预防对策[J];实验室研究与探索;2010年03期

4 恽健;;浅析网页挂马及其克星“云安全”[J];电脑知识与技术;2010年19期

5 诸葛建伟;;狩猎女神守护Web安全[J];中国教育网络;2009年09期

6 郑先伟;;网页挂马攻击自动化[J];中国教育网络;2009年10期

7 ;安全互动[J];电脑迷;2010年01期

8 李佳;;“网页挂马”增幅最大[J];中国教育网络;2010年06期

9 张婷婷;;网页挂马出“新宠” 肆虐网络下“黑手”——北京东方微点反病毒专家破解网页挂马“第三方”方法[J];中国新技术新产品;2008年02期

10 朱海;;网络安全之网页挂马攻击分析[J];电脑知识与技术;2010年03期

中国重要报纸全文数据库 前10条

1 本报记者 邹本X;网页挂马手段全解析[N];中国消费者报;2012年

2 科讯;安卓签名与网页挂马漏洞大爆发[N];人民邮电;2013年

3 特约撰稿 王占涛;“网页挂马”的罪与罚[N];计算机世界;2008年

4 启明星辰信息技术有限公司 吴凡;从伤寒病状看网页挂马[N];中国计算机报;2009年

5 记者张建新;大量计算机遭恶意木马入侵[N];经济参考报;2009年

6 邹本X;国产应用软件漏洞成网页挂马“新宠”[N];中国消费者报;2007年

7 胡;三大安全威胁袭来[N];计算机世界;2008年

8 金山;2010年中国互联网病毒发展四大趋势[N];人民邮电;2010年

9 ;2010互联网病毒四大趋势[N];中国电脑教育报;2010年

10 本报记者 那罡;网页挂马瞄准政府部门网站[N];中国计算机报;2010年

中国硕士学位论文全文数据库 前4条

1 廖明天;网页挂马链的溯源和重现技术研究[D];上海交通大学;2015年

2 李洋;页面木马及其安全威胁的监测与防范[D];北京交通大学;2012年

3 张艳红;基于Web的远程教育网中网页挂马及DNS异常研究[D];云南大学;2011年

4 许杰;云安全模式下恶意URL实时检测系统的设计与测试[D];北京邮电大学;2014年

  本文关键词：网页挂马链的溯源和重现技术研究，由笔耕文化传播整理发布。

，

本文编号：478120