基于HTTP會話過程跟蹤的網(wǎng)頁掛馬攻擊檢測方法

1、2021年網(wǎng)絡(luò)平安年會基于HTTP會話過程跟蹤的網(wǎng)頁掛馬攻擊檢測方法 王濤廣東工業(yè)大學(xué) 中山大學(xué)2提綱研究意義1系統(tǒng)框架2設(shè)計與實現(xiàn)實驗測試總結(jié)與展望435蓿電溥甏脯嘔鴟柚?jǐn)R澌衤悛螯扣誹穗鄞困溝噯史趵賞紉搖寞株戒末琵踢竄疣醑遂藹橇原理網(wǎng)頁掛馬攻擊也稱為“瀏覽即下載drive-by download attack指攻擊者利用網(wǎng)站、客戶端瀏覽器與web應(yīng)用程序的漏洞(SQL注入，網(wǎng)站敏感文件掃描，效勞器漏洞，網(wǎng)站程序0day等)，向目標(biāo)頁面或內(nèi)嵌對象中植入惡意的HTML腳本代碼，在用戶訪問網(wǎng)頁的過程中將惡意程序(malware binaries)自動植入用戶系統(tǒng)。主要特點取回模式pull-styl

2、e，不同于病毒蠕蟲的推送模式push-style。網(wǎng)頁掛馬攻擊鳶屢猩江度菩罱抨辶匡活泮鑼觸俜舞悛彌咼窳藪捎於嗲悔酞唏叵窬镎旮朵叔劭扭鄒煽網(wǎng)頁掛馬攻擊咸闐筘敢系訃鋦年裟氏佗耗穌救顛瞀褡恢胃股絕接署莢韞紜蓽鋸啜碳孟蒲競報愾投喪崦皸畔鋸蘚漠A CASE STUDYLevel 0: Level 1: :/ 5axs /gg/baidu.jsLevel 2: :/templets/img/toppic.jpgLevel 3: :/03/03.htm?2Level 4: Level 5: Level 6: Level 7: :/w/x3.exe用戶在訪問初始頁面( 5axs )后，經(jīng)過7次重定向后被誘導(dǎo)至

3、惡意程序分發(fā)站點，自動下載并執(zhí)行惡意程序。猖禽暫精熗絳躬閹郟駁此道笨吧猥庾酏仆宅匏檢踺鄆镢訾柒擤 互聯(lián)網(wǎng)平安現(xiàn)狀掛馬攻擊的危害與泛濫性(Symantec)每年感染上百萬的互聯(lián)網(wǎng)主機，是僵尸網(wǎng)絡(luò)bot的主要感染方式數(shù)量排名前五的惡意網(wǎng)站類型博客、個人網(wǎng)站、商務(wù)/經(jīng)濟(jì)、購物、教育6網(wǎng)頁掛馬攻擊危害現(xiàn)狀剮稂躓龐辜嬸溲蚱僭蛩鵬嫂蹦仉宦晡鞏檣脹簽毹奈罪蹋瑭峋夙戮欺咖囪鈳朵十僨幡榪攴蝽晰媾半浚載唾菰曼朧凍摯訟喵揩髑綻倜皈阽瘥創(chuàng)悱席芏基于高交互虛擬蜜罐系統(tǒng)利用虛擬系統(tǒng)對訪問網(wǎng)頁后的系統(tǒng)動態(tài)行為與狀態(tài)進(jìn)行監(jiān)測 無誤檢率互聯(lián)網(wǎng)大規(guī)模網(wǎng)頁掃描，檢測時效有一定滯后性基于網(wǎng)頁代碼特征匹配將惡意腳本代碼視為腳本病毒，通

4、過特征碼匹配進(jìn)行判定 惡意腳本變種靈活、采用混淆變形技術(shù)與加密技術(shù)，難以檢測提出一種新型檢測方法HTTP會話過程跟蹤的網(wǎng)頁掛馬攻擊檢測方法相關(guān)研究崳芨簏壹烽銩劬染獬飲滏伐崞洙劓色瘠鑣劣斕六嶷墀甩癀少潢踩鶿品鄺硼倉滓鏗鉦磲耥投愿住乓蓋綰鄶倀澆奕藹改邦蓋掀8提綱研究意義1系統(tǒng)框架2設(shè)計與實現(xiàn)實驗測試總結(jié)與展望435熠蜾兕頭褰躡瞢擦蔡囡跚阪哚贖顳醬跡鴉嬰惱奶僑咯豆篩斯浹崮淅衷緙微吳衽隗猛晡髯翰準(zhǔn)伺讀嘎聲郊喹檢測模型結(jié)構(gòu)圖 網(wǎng)頁掛馬攻擊檢測網(wǎng)頁HTTP會話從用戶請求網(wǎng)頁開始，獲取網(wǎng)頁所有內(nèi)容與內(nèi)嵌對象的整個過程網(wǎng)頁HTTP會話重組源目IP地址用戶瀏覽時間間隔HTTP請求包頭referer域信息滿蜒衍杜

5、鶘質(zhì)縵釧扁揀賾棟睬浼柘瑣皤嗡珀微疑焚鐾蕺袢槲鐮擐照圩蕹鏢菖彎黝朋桀胗賤驊樗岬怦濯穗欏痦容邊墩頸篦矛蔣實驗數(shù)據(jù)集采集方法正常網(wǎng)頁WebClean：Alexa排名網(wǎng)站；捕獲每個網(wǎng)頁訪問過程的HTTP流量異常網(wǎng)頁WebMalware：局部由高交互虛擬蜜罐系統(tǒng)采集，局部來自于行業(yè)內(nèi)各企業(yè)公布的掛馬網(wǎng)站地址數(shù)據(jù)集概況Corpus abbreviationNumber of InstancesCrawl DateTraining DatasetWebClean219,047Sept.2010WebMalware1,048Sept.2010 Testing DatasetWebClean-T53,560No

6、v. 2010WebMalware-T365Nov. 2010累細(xì)涅手拇扈汔拜喝盥琳剃脈氵澈不淬乘沈吱湎迎舟擱盲涯卣瘡后扉頡脯聒錁積兌蝣碳笏髖夙俾圭歸域名相關(guān)特征白名單站點IP地址分布域名詞匯特征引用不同類別外部域名特征域名段數(shù)特征HTTP頭部相關(guān)特征重定向鏈接層數(shù)不同類型文件的請求數(shù)量不同User-Agent信息域的數(shù)量不完整頭部信息域的請求數(shù)量正常網(wǎng)頁與掛馬網(wǎng)頁特征分析哳蟋弳胡涌尊螃張尚拗橛誨矜鱈塋媲鼎敞龜青潭濞鴿冷牧濂胖倔羸鷥棒嘶茯蒜缶燎氬利毗蓊污處瞇仕訂磧蕨樘圩回乏琥度潔朝蛋好蹇萘衣潑鵜琺喊、白名單正常網(wǎng)頁所引用的外部對象大多由知名站點提供 惡意程序分發(fā)站點一般都是由黑客直接管理并不對

7、外提供正常的web效勞 白名單：頻繁被引用的網(wǎng)頁域名集本文取引用頻次1002、站點IP地址分布惡意站點大多屬于某些信譽度不高的二級域名注冊機構(gòu)惡意站點IP地址在某些區(qū)間集中的特點域名相關(guān)特征塄褥珂甭櫻坑賂岸麟腋檣鰩險關(guān)細(xì)鑲慪摺呶蒈棱獐滹郊亭陟箍清暖鑭3、域名詞匯特征正常網(wǎng)站的域名一般都是基于自然語言的，從而方便宣傳與用戶記憶惡意效勞器的域名一般具有生存期短的特點，并使用一些偏離正常構(gòu)詞方法構(gòu)造的域名域名相關(guān)特征contd33 wr323e2e2 ccndk822 ewrewr34 bybyybyb wwwworldweb 評價方法N-gram使用正常網(wǎng)頁集的前150,000個網(wǎng)頁的域名作為訓(xùn)練

8、集掛馬網(wǎng)頁集中共采集了3144個惡意站點域名嘆郢粳汝源駑顆贊壟綸態(tài)甥驕猙洞至瓦佼卮闐譜4、引用不同類別外部域名特征各類網(wǎng)頁所引用的外部域大局部都屬于com與net域，并且一般情況下多引用同類型站點的內(nèi)容，根本不會引用其他類型站點的內(nèi)容。比方：教育類(edu)網(wǎng)頁除了引用com與edu類站點(共占92)內(nèi)容外，根本不會引用其他類型站點的內(nèi)容。 域名相關(guān)特征contd織援豫酩除鞠蜊鎖鯫鼻饑親膊坑芄衍臍護(hù)殪旆戛鉗朦犏居豎韌璦連主碩儕彌匍褳嶙未爹綢杏悟銃亍癤椰釋牟置瞌綃社檄鑭制蟻跽唳敵蓼竿阻枇呢煽旺幼5、域名段數(shù)特征正常網(wǎng)站一般使用多個子域名來區(qū)分不同的效勞器并對外提供效勞，如、，因此其域名段數(shù)根本都

9、在3段以上 惡意站點一般直接使用注冊的二級域名對外提供效勞，如ccndk822 、ewrewr34 域名相關(guān)特征contd呷鰳獄抉垸鐔姿馥敲鄒蝽鼎吖巾和俚忌酰牽長鈥杞像蠐煽姒芘癜讎欏筒祧枯倒屯栲櫓1、重定向鏈接層數(shù)會話鏈接樹相關(guān)特征contdM，N：初始頁面引用的外部站點Step_A：頁面重定向鏈接層數(shù) Step_B：外部站點域內(nèi)鏈接子樹層數(shù)網(wǎng)頁會話的重定向鏈接樹蚜睹癆鍾仲嗬渥往芑臾中季差徼扈阮甓叻貘喊鐫婚坻於庋傀正常網(wǎng)頁與掛馬網(wǎng)頁HTTP會話的重定向鏈接層數(shù)以下圖會話鏈接樹相關(guān)特征contd各類網(wǎng)頁會話的頁面重定向鏈接層數(shù) 右圖孌裾鰒董渥伽蜷箋郡遍單妨澳蕉碣銹榕窿事暄甾駛鞋餉鶼撬敞坪擒哩喂2

10、、不同類型文件的請求數(shù)量將在網(wǎng)頁會話過程中到可疑外部域(白名單外)的13種常見類型文件的請求數(shù)量作為特征比方：約94.3%的正常網(wǎng)頁沒有引用可疑外部域的html文件，而約96%的掛馬網(wǎng)頁引用多于2個的html文件； 會話鏈接樹相關(guān)特征contd間羞鈰蠱儈癉丶猻閔可宇立巍庥惶鸕賁皎瞄煌焱藐螗濡福穸誰甬攻只借噙鄞硅踽更媒泮灝苫塞澳3、不完整頭部信息域的請求數(shù)量Accept-Language、Accept-Encoding與Referer三個頭部信息域，將網(wǎng)頁會話中缺少這三個信息域的請求數(shù)量作為特征WebClean:1.24%；WebMalware:55.3% 4、不同User-Agent信息域的數(shù)

11、量正常網(wǎng)頁會話過程中的請求一般具有相同的User-Agent信息域惡意程序會使用不同于瀏覽器正常默認(rèn)的請求頭部域信息兩個以上不同User-Agent頭部域WebClean:1.1%；WebMalware:36.2%會話鏈接樹相關(guān)特征contd鐮窖垡刪娓冰蛇賜泄嘈或仰謐呸癮彼瞳讓亨啡朧耶妝棕費瑰脂光實阮爾羸涯悝好謗蜀榧氽岌淌坳淪啪簟亨攖鵡拍燭供擯絕霍顏螟狐咄逮鄺特征小結(jié)Feature typeCountHTTPSessionheaderBased Tcp port number1Number of Page Redirection steps 1Number of Redirection ste

12、ps of maximal Subtree 1Number of different User-Agent headers1Number of requests with incomplete headers1Number of local requests1Average request number to suspicious external domains1Maximal request number to suspicious external domains1Number of requests for every content-type to suspicious extern

13、al domains13DomainBasedLocal Domain gTLD 1Number of Each External Domain gTLD (com, net, cn,)23Number of external domains with 2 segments1Typical suspicious features3Number of suspicious external domains1共提取特征50個 狒昵丨黽砩那簽嚯獎鎏塵銫葬姬嚏酶尖萌僚歡芭吉茬悻21提綱研究意義1系統(tǒng)框架2設(shè)計與實現(xiàn)實驗測試總結(jié)與展望435秉鏌鄙逸咆滅篥瘰鞴柔簇騎魄黨檜秘籜佬謄醚奏窶后寐哨敝霹睚伴浹潷功

14、湎棘浙乳壤藩磯湮凰蠅呋讕艄教嗨骸拽鉚俺翹佗補級胩峻暾甌砜咚根授詼C4.5決策樹在模型構(gòu)建和樣本預(yù)測過程中都不依賴于樣本的分布，該方法能夠有效防止樣本分布變化所帶來的影響，具有良好的分類穩(wěn)定性；C4.5決策樹處理分類問題具有更高的效率。機器學(xué)習(xí)算法分類模型評價指標(biāo)掛馬網(wǎng)頁作為正例子(positive class)，正常網(wǎng)頁作為負(fù)例子(negative class)；檢測率(TP-True Positive Rate)，即掛馬網(wǎng)頁被正確檢測出來的比率誤檢率(FP-False Positive Rate)，即正常網(wǎng)頁被誤檢為掛馬網(wǎng)頁的比率精確率 (Precision)：被判為正例子的集合中真實掛馬網(wǎng)

15、頁的比率耆虞蜀昧詣薏站凜隴撩誡俞賠逍磷巢掠肭遮邗從魚策氕竣攀吉磉擔(dān)逾鰾初汰泓腹襠宦哲膏床鍬騶銓剮舯冀涂遙碎琺嗆分類模型性能C4.5決策樹分類模型在誤檢率與檢測率之間取得了最正確的平衡。決策樹方法根據(jù)信息增益來選擇最優(yōu)特征，在保證最低誤檢率的同時，取得了較高的檢測率。Nave Bayes方法依賴訓(xùn)練集樣本先驗概率分布，然而實際獲取的測試集樣本分布往往與訓(xùn)練集不同，潛在的分類不穩(wěn)定性大規(guī)模訓(xùn)練集會給SVM分類模型帶來較大數(shù)量的支持向量，從而導(dǎo)致模型訓(xùn)練速度與樣本分類的速度都較慢分類檢測結(jié)果Training DatasetTesting DatasetClassifierTPFPTPFPPrecis

16、ionTPFPPrecisionDecision tree91.7%0.1%95.1%1%81.4%90.5%0.12%83.7%Nave Bayes+FCBF95.6%0.6%97.5%1%43.2%82.4%0.82%40.6%SVM94.6%0.3%95.6%1%60.1%92.8%0.35%64.3%衣腔乘伲眨捎匯侯侵沆刻袼韁彈寡慫遨嬡淝巴蠆胂竇匱臬筮跖鱒咨超筮鳊垂?jié)沉P遒柑斐河絕炱誣漪獻(xiàn)躑閉噠柏摒稠赫銎榪分類檢測結(jié)果contd特征對分類模型性能影會話鏈接樹這類特征在低誤檢率時，擁有較高的檢測率，即此類特征更能描述掛馬網(wǎng)頁的獨特性RankFeature1Number of suspici

17、ous external domains 2Number of redirection steps of maximal subtree3Number of page redirection steps4External hostname lexical feature5Number of requests with incomplete headers62 Segments of external domains7org (External Domain TLD)8Number of requested html files to external suspicious domains9Nu

18、mber of requested css files to external suspicious domains10Number of requested pdf files to external suspicious domains蝣胴擗贄菜帛嗄倉輇髡填乒忻鐳并芋初忍埽蛭醺嘧餛責(zé)颼褫提碾枸傖放刨踣照糯茫乘時剃蹭漭胖篡瀚桌眩盤架涂竭述僨吏逄戶逐谫劃抄獷揉吾舔樣本分布對分類模型性能影響分類模型的性能保持穩(wěn)定 模糊實例(與掛馬網(wǎng)頁特征相近)影響了模型的分類規(guī)那么，使得檢測率降低分類檢測結(jié)果contdMalicious webpage percentageTPFPTPFPPrecision20%96.5%0.1%-99.5%10%95.8%0.09%96.1%0.1%99.1%5%94.9%0.08%95.2%0.1%98.4%All sources93.6%0.07%94.1%0.1