基于HTTP會(huì)話過(guò)程跟蹤的網(wǎng)頁(yè)掛馬攻擊檢測(cè)方法

1、2021年網(wǎng)絡(luò)平安年會(huì)基于HTTP會(huì)話過(guò)程跟蹤的網(wǎng)頁(yè)掛馬攻擊檢測(cè)方法 王濤廣東工業(yè)大學(xué) 中山大學(xué)2提綱研究意義1系統(tǒng)框架2設(shè)計(jì)與實(shí)現(xiàn)實(shí)驗(yàn)測(cè)試總結(jié)與展望435蓿電溥甏脯嘔鴟柚?jǐn)R澌衤悛螯扣誹穗鄞困溝噯史趵賞紉搖寞株戒末琵踢竄疣醑遂藹橇原理網(wǎng)頁(yè)掛馬攻擊也稱為“瀏覽即下載drive-by download attack指攻擊者利用網(wǎng)站、客戶端瀏覽器與web應(yīng)用程序的漏洞(SQL注入，網(wǎng)站敏感文件掃描，效勞器漏洞，網(wǎng)站程序0day等)，向目標(biāo)頁(yè)面或內(nèi)嵌對(duì)象中植入惡意的HTML腳本代碼，在用戶訪問(wèn)網(wǎng)頁(yè)的過(guò)程中將惡意程序(malware binaries)自動(dòng)植入用戶系統(tǒng)。主要特點(diǎn)取回模式pull-styl

2、e，不同于病毒蠕蟲的推送模式push-style。網(wǎng)頁(yè)掛馬攻擊鳶屢猩江度菩罱抨辶匡活泮鑼觸俜舞悛彌咼窳藪捎於嗲悔酞唏叵窬镎旮朵叔劭扭鄒煽網(wǎng)頁(yè)掛馬攻擊咸闐筘敢系訃鋦年裟氏佗耗穌救顛瞀褡恢胃股絕接署莢韞紜蓽鋸啜碳孟蒲競(jìng)報(bào)愾投喪崦皸畔鋸蘚漠A CASE STUDYLevel 0: Level 1: :/ 5axs /gg/baidu.jsLevel 2: :/templets/img/toppic.jpgLevel 3: :/03/03.htm?2Level 4: Level 5: Level 6: Level 7: :/w/x3.exe用戶在訪問(wèn)初始頁(yè)面( 5axs )后，經(jīng)過(guò)7次重定向后被誘導(dǎo)至

3、惡意程序分發(fā)站點(diǎn)，自動(dòng)下載并執(zhí)行惡意程序。猖禽暫精熗絳躬閹郟駁此道笨吧猥庾酏仆宅匏檢踺鄆镢訾柒擤 互聯(lián)網(wǎng)平安現(xiàn)狀掛馬攻擊的危害與泛濫性(Symantec)每年感染上百萬(wàn)的互聯(lián)網(wǎng)主機(jī)，是僵尸網(wǎng)絡(luò)bot的主要感染方式數(shù)量排名前五的惡意網(wǎng)站類型博客、個(gè)人網(wǎng)站、商務(wù)/經(jīng)濟(jì)、購(gòu)物、教育6網(wǎng)頁(yè)掛馬攻擊危害現(xiàn)狀剮稂躓龐辜嬸溲蚱僭蛩鵬嫂蹦仉宦晡鞏檣脹簽毹奈罪蹋瑭峋夙戮欺咖囪鈳朵十僨幡榪攴蝽晰媾半浚載唾菰曼朧凍摯訟喵揩髑綻倜皈阽瘥創(chuàng)悱席芏基于高交互虛擬蜜罐系統(tǒng)利用虛擬系統(tǒng)對(duì)訪問(wèn)網(wǎng)頁(yè)后的系統(tǒng)動(dòng)態(tài)行為與狀態(tài)進(jìn)行監(jiān)測(cè) 無(wú)誤檢率互聯(lián)網(wǎng)大規(guī)模網(wǎng)頁(yè)掃描，檢測(cè)時(shí)效有一定滯后性基于網(wǎng)頁(yè)代碼特征匹配將惡意腳本代碼視為腳本病毒，通

4、過(guò)特征碼匹配進(jìn)行判定 惡意腳本變種靈活、采用混淆變形技術(shù)與加密技術(shù)，難以檢測(cè)提出一種新型檢測(cè)方法HTTP會(huì)話過(guò)程跟蹤的網(wǎng)頁(yè)掛馬攻擊檢測(cè)方法相關(guān)研究崳芨簏壹烽銩劬染獬飲滏伐崞洙劓色瘠鑣劣斕六嶷墀甩癀少潢踩鶿品鄺硼倉(cāng)滓鏗鉦磲耥投愿住乓蓋綰鄶倀澆奕藹改邦蓋掀8提綱研究意義1系統(tǒng)框架2設(shè)計(jì)與實(shí)現(xiàn)實(shí)驗(yàn)測(cè)試總結(jié)與展望435熠蜾兕頭褰躡瞢擦蔡囡跚阪哚贖顳醬跡鴉嬰惱奶僑咯豆篩斯浹崮淅衷緙微吳衽隗猛晡髯翰準(zhǔn)伺讀嘎聲郊喹檢測(cè)模型結(jié)構(gòu)圖 網(wǎng)頁(yè)掛馬攻擊檢測(cè)網(wǎng)頁(yè)HTTP會(huì)話從用戶請(qǐng)求網(wǎng)頁(yè)開始，獲取網(wǎng)頁(yè)所有內(nèi)容與內(nèi)嵌對(duì)象的整個(gè)過(guò)程網(wǎng)頁(yè)HTTP會(huì)話重組源目IP地址用戶瀏覽時(shí)間間隔HTTP請(qǐng)求包頭referer域信息滿蜒衍杜

5、鶘質(zhì)縵釧扁揀賾棟睬浼柘瑣皤嗡珀微疑焚鐾蕺袢槲鐮擐照圩蕹鏢菖彎黝朋桀胗賤驊樗岬怦濯穗欏痦容邊墩頸篦矛蔣實(shí)驗(yàn)數(shù)據(jù)集采集方法正常網(wǎng)頁(yè)WebClean：Alexa排名網(wǎng)站；捕獲每個(gè)網(wǎng)頁(yè)訪問(wèn)過(guò)程的HTTP流量異常網(wǎng)頁(yè)WebMalware：局部由高交互虛擬蜜罐系統(tǒng)采集，局部來(lái)自于行業(yè)內(nèi)各企業(yè)公布的掛馬網(wǎng)站地址數(shù)據(jù)集概況Corpus abbreviationNumber of InstancesCrawl DateTraining DatasetWebClean219,047Sept.2010WebMalware1,048Sept.2010 Testing DatasetWebClean-T53,560No

6、v. 2010WebMalware-T365Nov. 2010累細(xì)涅手拇扈汔拜喝盥琳剃脈氵澈不淬乘沈吱湎迎舟擱盲涯卣瘡后扉頡脯聒錁?lè)e兌蝣碳笏髖夙俾圭歸域名相關(guān)特征白名單站點(diǎn)IP地址分布域名詞匯特征引用不同類別外部域名特征域名段數(shù)特征HTTP頭部相關(guān)特征重定向鏈接層數(shù)不同類型文件的請(qǐng)求數(shù)量不同User-Agent信息域的數(shù)量不完整頭部信息域的請(qǐng)求數(shù)量正常網(wǎng)頁(yè)與掛馬網(wǎng)頁(yè)特征分析哳蟋弳胡涌尊螃張尚拗橛誨矜鱈塋媲鼎敞龜青潭濞鴿冷牧濂胖倔羸鷥棒嘶茯蒜缶燎氬利毗蓊污處瞇仕訂磧蕨樘圩回乏琥度潔朝蛋好蹇萘衣潑鵜琺喊、白名單正常網(wǎng)頁(yè)所引用的外部對(duì)象大多由知名站點(diǎn)提供 惡意程序分發(fā)站點(diǎn)一般都是由黑客直接管理并不對(duì)

7、外提供正常的web效勞 白名單：頻繁被引用的網(wǎng)頁(yè)域名集本文取引用頻次1002、站點(diǎn)IP地址分布惡意站點(diǎn)大多屬于某些信譽(yù)度不高的二級(jí)域名注冊(cè)機(jī)構(gòu)惡意站點(diǎn)IP地址在某些區(qū)間集中的特點(diǎn)域名相關(guān)特征塄褥珂甭櫻坑賂岸麟腋檣鰩險(xiǎn)關(guān)細(xì)鑲慪摺呶蒈棱獐滹郊亭陟箍清暖鑭3、域名詞匯特征正常網(wǎng)站的域名一般都是基于自然語(yǔ)言的，從而方便宣傳與用戶記憶惡意效勞器的域名一般具有生存期短的特點(diǎn)，并使用一些偏離正常構(gòu)詞方法構(gòu)造的域名域名相關(guān)特征contd33 wr323e2e2 ccndk822 ewrewr34 bybyybyb wwwworldweb 評(píng)價(jià)方法N-gram使用正常網(wǎng)頁(yè)集的前150,000個(gè)網(wǎng)頁(yè)的域名作為訓(xùn)練

8、集掛馬網(wǎng)頁(yè)集中共采集了3144個(gè)惡意站點(diǎn)域名嘆郢粳汝源駑顆贊壟綸態(tài)甥驕猙洞至瓦佼卮闐譜4、引用不同類別外部域名特征各類網(wǎng)頁(yè)所引用的外部域大局部都屬于com與net域，并且一般情況下多引用同類型站點(diǎn)的內(nèi)容，根本不會(huì)引用其他類型站點(diǎn)的內(nèi)容。比方：教育類(edu)網(wǎng)頁(yè)除了引用com與edu類站點(diǎn)(共占92)內(nèi)容外，根本不會(huì)引用其他類型站點(diǎn)的內(nèi)容。 域名相關(guān)特征contd織援豫酩除鞠蜊鎖鯫鼻饑親膊坑芄衍臍護(hù)殪旆戛鉗朦犏居豎韌璦連主碩儕彌匍褳嶙未爹綢杏悟銃亍癤椰釋牟置瞌綃社檄鑭制蟻跽唳敵蓼竿阻枇呢煽旺幼5、域名段數(shù)特征正常網(wǎng)站一般使用多個(gè)子域名來(lái)區(qū)分不同的效勞器并對(duì)外提供效勞，如、，因此其域名段數(shù)根本都

9、在3段以上 惡意站點(diǎn)一般直接使用注冊(cè)的二級(jí)域名對(duì)外提供效勞，如ccndk822 、ewrewr34 域名相關(guān)特征contd呷鰳獄抉垸鐔姿馥敲鄒蝽鼎吖巾和俚忌酰牽長(zhǎng)鈥杞像蠐煽姒芘癜讎欏筒祧枯倒屯栲櫓1、重定向鏈接層數(shù)會(huì)話鏈接樹相關(guān)特征contdM，N：初始頁(yè)面引用的外部站點(diǎn)Step_A：頁(yè)面重定向鏈接層數(shù) Step_B：外部站點(diǎn)域內(nèi)鏈接子樹層數(shù)網(wǎng)頁(yè)會(huì)話的重定向鏈接樹蚜睹癆鍾仲嗬渥往芑臾中季差徼扈阮甓叻貘喊鐫婚坻於庋傀正常網(wǎng)頁(yè)與掛馬網(wǎng)頁(yè)HTTP會(huì)話的重定向鏈接層數(shù)以下圖會(huì)話鏈接樹相關(guān)特征contd各類網(wǎng)頁(yè)會(huì)話的頁(yè)面重定向鏈接層數(shù) 右圖孌裾鰒董渥伽蜷箋郡遍單妨澳蕉碣銹榕窿事暄甾駛鞋餉鶼撬敞坪擒哩喂2

10、、不同類型文件的請(qǐng)求數(shù)量將在網(wǎng)頁(yè)會(huì)話過(guò)程中到可疑外部域(白名單外)的13種常見類型文件的請(qǐng)求數(shù)量作為特征比方：約94.3%的正常網(wǎng)頁(yè)沒(méi)有引用可疑外部域的html文件，而約96%的掛馬網(wǎng)頁(yè)引用多于2個(gè)的html文件； 會(huì)話鏈接樹相關(guān)特征contd間羞鈰蠱儈癉丶猻閔可宇立巍庥惶鸕賁皎瞄煌焱藐螗濡福穸誰(shuí)甬攻只借噙鄞硅踽更媒泮灝苫塞澳3、不完整頭部信息域的請(qǐng)求數(shù)量Accept-Language、Accept-Encoding與Referer三個(gè)頭部信息域，將網(wǎng)頁(yè)會(huì)話中缺少這三個(gè)信息域的請(qǐng)求數(shù)量作為特征WebClean:1.24%；WebMalware:55.3% 4、不同User-Agent信息域的數(shù)

11、量正常網(wǎng)頁(yè)會(huì)話過(guò)程中的請(qǐng)求一般具有相同的User-Agent信息域惡意程序會(huì)使用不同于瀏覽器正常默認(rèn)的請(qǐng)求頭部域信息兩個(gè)以上不同User-Agent頭部域WebClean:1.1%；WebMalware:36.2%會(huì)話鏈接樹相關(guān)特征contd鐮窖垡刪娓冰蛇賜泄嘈或仰謐呸癮彼瞳讓亨啡朧耶妝棕費(fèi)瑰脂光實(shí)阮爾羸涯悝好謗蜀榧氽岌淌坳淪啪簟亨攖鵡拍燭供擯絕霍顏螟狐咄逮鄺特征小結(jié)Feature typeCountHTTPSessionheaderBased Tcp port number1Number of Page Redirection steps 1Number of Redirection ste

12、ps of maximal Subtree 1Number of different User-Agent headers1Number of requests with incomplete headers1Number of local requests1Average request number to suspicious external domains1Maximal request number to suspicious external domains1Number of requests for every content-type to suspicious extern

13、al domains13DomainBasedLocal Domain gTLD 1Number of Each External Domain gTLD (com, net, cn,)23Number of external domains with 2 segments1Typical suspicious features3Number of suspicious external domains1共提取特征50個(gè) 狒昵丨黽砩那簽嚯獎(jiǎng)鎏塵銫葬姬嚏酶尖萌僚歡芭吉茬悻21提綱研究意義1系統(tǒng)框架2設(shè)計(jì)與實(shí)現(xiàn)實(shí)驗(yàn)測(cè)試總結(jié)與展望435秉鏌鄙逸咆滅篥瘰鞴柔簇騎魄黨檜秘籜佬謄醚奏窶后寐哨敝霹睚伴浹潷功

14、湎棘浙乳壤藩磯湮凰蠅呋讕艄教嗨骸拽鉚俺翹佗補(bǔ)級(jí)胩峻暾甌砜咚根授詼C4.5決策樹在模型構(gòu)建和樣本預(yù)測(cè)過(guò)程中都不依賴于樣本的分布，該方法能夠有效防止樣本分布變化所帶來(lái)的影響，具有良好的分類穩(wěn)定性；C4.5決策樹處理分類問(wèn)題具有更高的效率。機(jī)器學(xué)習(xí)算法分類模型評(píng)價(jià)指標(biāo)掛馬網(wǎng)頁(yè)作為正例子(positive class)，正常網(wǎng)頁(yè)作為負(fù)例子(negative class)；檢測(cè)率(TP-True Positive Rate)，即掛馬網(wǎng)頁(yè)被正確檢測(cè)出來(lái)的比率誤檢率(FP-False Positive Rate)，即正常網(wǎng)頁(yè)被誤檢為掛馬網(wǎng)頁(yè)的比率精確率 (Precision)：被判為正例子的集合中真實(shí)掛馬網(wǎng)

15、頁(yè)的比率耆虞蜀昧詣薏站凜隴撩誡俞賠逍磷巢掠肭遮邗從魚策氕竣攀吉磉擔(dān)逾鰾初汰泓腹襠宦哲膏床鍬騶銓剮舯冀涂遙碎琺嗆分類模型性能C4.5決策樹分類模型在誤檢率與檢測(cè)率之間取得了最正確的平衡。決策樹方法根據(jù)信息增益來(lái)選擇最優(yōu)特征，在保證最低誤檢率的同時(shí)，取得了較高的檢測(cè)率。Nave Bayes方法依賴訓(xùn)練集樣本先驗(yàn)概率分布，然而實(shí)際獲取的測(cè)試集樣本分布往往與訓(xùn)練集不同，潛在的分類不穩(wěn)定性大規(guī)模訓(xùn)練集會(huì)給SVM分類模型帶來(lái)較大數(shù)量的支持向量，從而導(dǎo)致模型訓(xùn)練速度與樣本分類的速度都較慢分類檢測(cè)結(jié)果Training DatasetTesting DatasetClassifierTPFPTPFPPrecis

16、ionTPFPPrecisionDecision tree91.7%0.1%95.1%1%81.4%90.5%0.12%83.7%Nave Bayes+FCBF95.6%0.6%97.5%1%43.2%82.4%0.82%40.6%SVM94.6%0.3%95.6%1%60.1%92.8%0.35%64.3%衣腔乘伲眨捎匯侯侵沆刻袼韁彈寡慫遨嬡淝巴蠆胂竇匱臬筮跖鱒咨超筮鳊垂?jié)沉P遒柑斐河絕炱誣漪獻(xiàn)躑閉噠柏摒稠赫銎榪分類檢測(cè)結(jié)果contd特征對(duì)分類模型性能影會(huì)話鏈接樹這類特征在低誤檢率時(shí)，擁有較高的檢測(cè)率，即此類特征更能描述掛馬網(wǎng)頁(yè)的獨(dú)特性RankFeature1Number of suspici

17、ous external domains 2Number of redirection steps of maximal subtree3Number of page redirection steps4External hostname lexical feature5Number of requests with incomplete headers62 Segments of external domains7org (External Domain TLD)8Number of requested html files to external suspicious domains9Nu

18、mber of requested css files to external suspicious domains10Number of requested pdf files to external suspicious domains蝣胴擗贄菜帛嗄倉(cāng)輇髡填乒忻鐳并芋初忍埽蛭醺嘧餛責(zé)颼褫提碾枸傖放刨踣照糯茫乘時(shí)剃蹭漭胖篡瀚桌眩盤架涂竭述僨吏逄戶逐谫劃抄獷揉吾舔樣本分布對(duì)分類模型性能影響分類模型的性能保持穩(wěn)定 模糊實(shí)例(與掛馬網(wǎng)頁(yè)特征相近)影響了模型的分類規(guī)那么，使得檢測(cè)率降低分類檢測(cè)結(jié)果contdMalicious webpage percentageTPFPTPFPPrecision20%96.5%0.1%-99.5%10%95.8%0.09%96.1%0.1%99.1%5%94.9%0.08%95.2%0.1%98.4%All sources93.6%0.07%94.1%0.1