内网恶意移动存储介质检测方法研究
发布时间:2020-12-22 02:18
为保障内部网络系统中多种设备和机密数据等核心资产的安全,各种组织机构将内外网进行隔离,使得移动存储介质广泛应用于内外网之间交换数据。由于对移动存储介质缺乏严格的管控策略,内部威胁人员可使用移动存储介质威胁内网安全。一方面,内部威胁人员可使用移动存储介质将恶意代码注入内网。现有恶意程序主要使用C/C++开发,但完全使用JavaScript开发的恶意程序开始出现,其可通过移动存储介质注入内网。另一方面,内部威胁人员可基于Autorun机制,使用移动存储介质自动化窃取机密数据。虽然该机制已被禁用,但是绕过该防御实现自动化窃取数据的攻击方式依旧存在。因此,本文对内部威胁人员使用移动存储介质向内网中注入恶意JavaScript脚本和自动化窃取数据两个方面进行研究,以进一步提升内网中的系统和数据安全保障能力。本文的主要工作及创新点如下:1)针对利用移动存储介质注入恶意JavaScript脚本的行为,使用N-gram方法提取特征,并基于相关检测算法实现在无需区分代码是否被混淆的情况下完成检测。2)针对将JavaScript代码N-gram处理后特征维度较高的问题,本文利用TF-IDFlike方法计算...
【文章来源】:中北大学山西省
【文章页数】:61 页
【学位级别】:硕士
【部分图文】:
Windows操作系统使用ScriptHost执行JavaScript代码结果
薷墓碳?纳璞浮?(C)仅由电气硬件组件组成的精制设备。通过移动存储设备窃取内部核心数据和用户隐私是执行USB攻击的主要恶意操作之一。在不需要修改固件执行攻击类别中,通过USB闪存驱动器,基于Autorun、AutoPlay和U3的攻击得到流行。该方法根据主机的配置方式,在无需与用户交互的情况下,可以自动执行指定路径的恶意可执行文件,以达到恶意破坏或窃取数据的目的。例如,在移动存储介质(盘符E)中新建Autorun.inf文件,加入如下格式代码,当与主机建立连接后可自动执行attack.exe可执行文件,核心代码如图2-3所示。图2-3Autorun攻击示例代码Figure2-3AutorunattackexamplecodePodSlurping攻击是基于Autorun的攻击的著名示例之一[51],指将大量敏感文件从主机复制到USB存储设备的行为。该方法在USB存储设备上存储攻击程序,恶意程序会在设备与主机建立连接后自动执行数据窃取操作。另一个流行的示例是Hacksaw/Switchblade工具族[51],这些工具基于可配置的闪存驱动器,可以使用光盘,只读存储器(CD-ROM)分区进行自定义。这些闪存驱动器连接到主机后,会在主机上静默安装恶意程序,该程序会监视主机是否连接了新的外部驱动器,并在检测到时将其上存储的所有数据压缩和拆分,然后将其发送到攻击者指定的邮箱内。出于安全考虑,Microsoft默认情况下在Windows上禁用了可移动驱动器的AutoPlay功能,并且很快发展成为一种惯例,即完全禁用Autorun功能[50]。这种措施还可以通过
中北大学学位论文31时间开销作为因变量,保留维度作为自变量,拟合成一条直线。1-gram和2-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系分别如图3-1和图3-2表示,横轴表示保留的特征维度,单位为个,纵轴表示对应的时间开销,单位为秒。图3-11-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系Figure3-1RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter1-gramprocessing图3-22-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系Figure3-2RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter2-gramprocessing
本文编号:2930954
【文章来源】:中北大学山西省
【文章页数】:61 页
【学位级别】:硕士
【部分图文】:
Windows操作系统使用ScriptHost执行JavaScript代码结果
薷墓碳?纳璞浮?(C)仅由电气硬件组件组成的精制设备。通过移动存储设备窃取内部核心数据和用户隐私是执行USB攻击的主要恶意操作之一。在不需要修改固件执行攻击类别中,通过USB闪存驱动器,基于Autorun、AutoPlay和U3的攻击得到流行。该方法根据主机的配置方式,在无需与用户交互的情况下,可以自动执行指定路径的恶意可执行文件,以达到恶意破坏或窃取数据的目的。例如,在移动存储介质(盘符E)中新建Autorun.inf文件,加入如下格式代码,当与主机建立连接后可自动执行attack.exe可执行文件,核心代码如图2-3所示。图2-3Autorun攻击示例代码Figure2-3AutorunattackexamplecodePodSlurping攻击是基于Autorun的攻击的著名示例之一[51],指将大量敏感文件从主机复制到USB存储设备的行为。该方法在USB存储设备上存储攻击程序,恶意程序会在设备与主机建立连接后自动执行数据窃取操作。另一个流行的示例是Hacksaw/Switchblade工具族[51],这些工具基于可配置的闪存驱动器,可以使用光盘,只读存储器(CD-ROM)分区进行自定义。这些闪存驱动器连接到主机后,会在主机上静默安装恶意程序,该程序会监视主机是否连接了新的外部驱动器,并在检测到时将其上存储的所有数据压缩和拆分,然后将其发送到攻击者指定的邮箱内。出于安全考虑,Microsoft默认情况下在Windows上禁用了可移动驱动器的AutoPlay功能,并且很快发展成为一种惯例,即完全禁用Autorun功能[50]。这种措施还可以通过
中北大学学位论文31时间开销作为因变量,保留维度作为自变量,拟合成一条直线。1-gram和2-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系分别如图3-1和图3-2表示,横轴表示保留的特征维度,单位为个,纵轴表示对应的时间开销,单位为秒。图3-11-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系Figure3-1RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter1-gramprocessing图3-22-gram处理后使用本方法和使用PCA的时间开销和保留维数的关系Figure3-2RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter2-gramprocessing
本文编号:2930954
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/2930954.html
