文档介绍:武汉科技大学
硕士学位论文
基于混合式客户端蜜罐的恶意网址收集系统的设计与实现
姓名:李世勇
申请学位级别:硕士
专业:计算机应用技术
指导教师:肖竞华
20080325
武汉科技大学摘要互联网越来越成为我们生活中不可缺少的工具,但是接入网络的计算机有被远程攻击的风险。在最近几年,网络上出现一种新的攻击类型:客户端攻击,攻击的对象是客户端应用程序。当客户端访问某个恶意服务器时,该服务器将恶意内容作为响应的一部分发送客户端程序,所以恶意网站严重威胁客户端机器的安全,但是当前没有免费的关于恶意网备与潜在的恶意服务器交互,进而判断服务器是良性还是恶意的。这两种技术识别服务器响应各有优缺点,不能大规模且准确的分析。为了提高识别恶意服务器的速度和准确度,本文结合这两种技术的优点,提出混合式客户端蜜罐模型以及调整静态检测算法的反馈机制。在此基础上,本文设计并部分实现了恶意网址收集系统。实验结果初步证明了混合式客户端蜜罐以及采用这种技术的恶意网址收集系统有比单一一种技术更好的关键词:恶意网址;客户端攻击;客户端蜜罐;混合式客户端蜜罐硕士学位论文第到客户端。比如当浏览器访问恶意衿魇保衿鞣祷睾泄セ鞯亩褚馔场H绻攻击成功,则衿骺梢栽诳突Ф嘶魃习沧叭我獬绦颉5鼻颁榔魇亲钜资芄セ鞯址和驳淖酆闲允菘饪晒┭芯俊9菇ㄕ庋桓鍪菘馐潜疚牡哪康摹低和高交互式客户端蜜罐是两种检测恶意服务器的计算机安全技术,它们使用专用设效果。
武汉科技大学珻,第页硕士学位论文痶瑃’琩,.:·甌瓵,瓼琣甀,瓹,,瑃..琤,.甈簃;·;籬
指导教师签名:幸童埠论文作者签名::垄兰塾期:.立Ⅲ靡当ひ日期:至翌兰垒至塑诠武汉科技大学研究生学位论文创新性声明研究生学位论文版权使用授权声明工作外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。本人郑重声明:所呈交的学位论文是本人在导师指导下,独立进行研究所取得的成果。除了文中已经注明引用的内容或属合作研究共同完成的对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。申请学位论文与资料若有不实之处,本人承担一切相关责任。本论文的研究成果归武汉科技大学所有,其研究内容不得以其它单位的名义发表。本人完全了解武汉科技大学有关保留、使用学位论文的规定,同意学校保留并向有关部门送交论文的复印件和电子版本,允许论文被查阅和借阅,同意学校将本论文的全部或部分内容编入有关数据库进行检索。日
武汉科技大学硕士学位论文第一章绪论研究动机从上个世纪九十年代以来,得到了迅猛的发展,各种商业机构及政府部门都网络是一个多元化的世界,在这个虚拟与现实交织的地方,只要你的计算机与网络相连,由于网络安全在逐渐完善,许多攻击路径被禁止,所以攻击者必须寻找新的路径攻击计算机系统,从而产生了许多新的攻击类型,客户端攻击就是其中的一种,其攻击对象是客户端应用程序。当客户端访问某个恶意服务器时,该服务器把对客户端的攻击作为响应的一部分发送到客户端。这种攻击的常见例子是攻击浏览器的衿鳎变榔髑肭器上安装任意程序。传统防御措施绶阑鹎胶头床《救砑不能有效的检测这些新威胁。为了防御这些威胁,我们必须研究恶意服务器。在研究这些服务器之前,我们要能对数千万的网页进行大规模的自动化分析,发现和识别恶意服务器,建立一个综合性的威胁数据库。幸运地是,恶意服务器一定能够被成功地访问,这样我们就能搜索到它们。客户端蜜罐是我们进行这种搜索的新兴技术,根据与服务器交互程度分为高和低交互式客户端蜜罐。高交互式客户端蜜罐是传统的客户端蜜罐技术,它使用专门的机器与服务器交全策略的恶意行为。这些静态检测算法包括模式匹配、启发式和静态代码分析,分析速度服务器后,安全研究人员可以设计更加有效的防御机制,我们也就能回答:·恶意网站彼此如何联系第纷纷接入,并提供各种各样的网络应用服务,逐步实现全球范围的信息共享。但就随时面临被攻击的危险。虽然与网络连接的机器通常至少安装了一种反病毒软件或者防火墙,能够抵御大量的攻击,但是肆虐的病毒、泛滥的垃圾邮件、不断攻击的黑客,尤其是特洛伊木马,一不小心中招就会给你造成巨大的损失。衿魇保衿鞣祷毓セ麂榔鞯亩褚馔场H绻晒Γ蚍衿骺梢栽诳突Ф嘶互,监视与恶意服务器交互可能导致的未授权状态变化,因为在客户端蜜罐里没有其它活动,所以客户端蜜罐很容易检测到各种状态的变化,如创建进程,安装新文件等。低交互式客户端蜜罐由热嗽诿酃薹掷嘀惺状翁岢鰂,其主要目的是引入轻量级客户端蜜罐技术提高性能。低交互式客户端蜜罐使用静态算法分析服务器响应,检查是否有违背安比高交互式客户端蜜罐快的多晗傅奶致劭刹慰嘉恼耓R坏┒褚夥衿鞅皇侗鸷螅我们可以禁止对它们的访问或者由相关法律部门关闭这些服务器。另外,在收集这些恶意●有多少个恶意软件·恶意软件主要集中在哪里·