基于AST的网页木马解混淆技术

Drive-by-Download Attack Deobfuscation based on AST

下载PDF

导出

摘要网页木马是最近几年非常流行的一种恶意代码分发的形式,其目标群体庞大,已经发展为传播最广泛,危害最严重的一种客户端攻击类型,而对网页木马的分析是网页木马研究的重要基础和前提。本文主要关注网页木马为了隐藏自身并提高攻击成功率而引入的混淆技术,首先讨论了各种当前的解混淆技术,然后引入了利用抽象语法树的解混淆技术,并实现了一套基于该技术的原型系统,最后使用多种类型的网页测试了原型系统,证明了该技术的有效性。 Drive-by-download attack,as a popular way to distribute malicious code in recent years,has a huge amount of potential victims and now becomes the most widespread and the most detrimental client- side attack. The analysis of drive-by-download attack is the prerequisite and foundation for the research. This paper mainly focuses on the obfuscation techniques of drive-by-download attack's,which make it harder to detect the malicious codes. Firstly,the common deobfuscation techniques are discussed,then the deobfuscation techniques based on AST described,and based on this technology,a set of prototype system is implemented,and finally,the tests on the prototype system based on different types of web pages,indicate the effectiveness of this proposed technology.

作者项家齐王轶骏薛质

机构地区上海交通大学信息安全工程学院

出处《信息安全与通信保密》 2015年第4期88-92,共5页 Information Security and Communications Privacy

基金高级XXX技术研究(秘密级)(CNITSEC-KY-2013-009/2)

关键词抽象语法树解混淆网页木马客户端蜜罐 AST deobfuscation drive-by-download attack client-side honeypot

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1DAY O,PALMEN B,GREENSTADT R.Reinterpreting the Disclosure Debate for Web Infections. Managing Information Risk and the Economics of Security . 2009
2CURTSINGER C,LIVSHITS B,ZORN B G,et al.ZOZZLE:Fast and Precise In-Browser Java Script Malware Detection. Proceedings of the 20th USENIX conference on Security SEC’’11 . 2011
3PALANT W.Fire Fox add-on:Java Script deobfuscator. https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/ . 2013
4Cova M,Kruegel C,Vigna G.Detection and analysisof drive-bydownload attacks and malicious JavaScript code. International Conference on World Wide Web (WWW) . 2010
5DELL’’AERA A.Thug. https://github.com/buffer/thug . 2014
6LU G,DEBRAY S.Automatic Simplification of Obfuscated Java Script code:A semantics-based Approach. 2012 6 th International Conference on Software Security and Reliability . 2012
7ECMA.ECMAScript Language Specification. Fifth edition. ECMA-262 . 2009
8SUZUKI Y.Escodegen. https://github.com/Constellation/escodegen . 2014
9NETWORK M D.Mozilla Parser AST. https://developer.mozilla.org/en-US/docs/Mozilla/Projects/Spider Monkey/Parser_API . 2014
10HIDAYAT A.Esprima. http://esprima.org/ . 2014

二级参考文献3

1张慧琳,诸葛建伟,宋程昱,韩心慧,邹维.基于网页动态视图的网页木马检测方法[J].清华大学学报（自然科学版）,2009(S2):2126-2132. 被引量：8
2张昊,陶然,李志勇,杜华.判断矩阵法在网页恶意脚本检测中的应用[J].兵工学报,2008,29(4):469-473. 被引量：12
3韩心慧,龚晓锐,诸葛建伟,邹磊,邹维.基于频繁子树挖掘算法的网页木马检测技术[J].清华大学学报（自然科学版）,2011,51(10):1312-1317. 被引量：5

共引文献29

1季元叶.基于网页挂马的僵尸网络的机理、检测与防御[J].网络安全技术与应用,2013(10):98-100. 被引量：1
2郑芳,魏建琴,李平珍.移动身份认证中的隐私保护方法的研究[J].网络安全技术与应用,2018(12):81-84. 被引量：2
3夏虹.网页木马的防御与检测技术[J].电子世界,2014(22):264-265. 被引量：1
4朱俚治.基于MMTD网页挂马响应的研究[J].计算技术与自动化,2014,33(4):97-101.
5任祎.高校网页木马病毒的防范思路和方法[J].微型电脑应用,2015,31(4):62-64. 被引量：1
6郑生军,郭龙华,李建华,王红凯,刘昀.基于云平台的网站安全多维监测系统[J].计算机与现代化,2016(1):39-45. 被引量：5
7沙泓州,刘庆云,柳厅文,周舟,郭莉,方滨兴.恶意网页识别研究综述[J].计算机学报,2016,39(3):529-542. 被引量：40
8刘志永,王红凯,李高磊,伍军,宿雅婷.一种基于主机特征的未知恶意程序动态识别系统[J].计算机与现代化,2016(3):105-110. 被引量：2
9曾泽军.网页木马机理与防御方法研究[J].电子技术与软件工程,2016(6):220-220.
10毛焱颖,罗森林.融合多种技术的堆喷射方法研究[J].信息网络安全,2016(6):48-55. 被引量：2

1孙晓妍,王洋,祝跃飞,武东英.基于客户端蜜罐的恶意网页检测系统的设计与实现[J].计算机应用,2007,27(7):1613-1615. 被引量：10
2谢满德,张国萍.XSeluge:一个基于网络编码的安全在线代码分发算法[J].电信科学,2012,28(11):74-80.
3樊迅,王轶骏.客户端蜜罐原理及应用研究[J].信息安全与通信保密,2009,31(3):69-71. 被引量：3
4游戏好兄弟——海尔新7哥笔记本电脑[J].数字生活,2011(6):54-55.
5王唤.基于鱼叉式网络钓鱼攻击的防御研究[J].电脑知识与技术（过刊）,2016,22(3X). 被引量：3
6华旗数据移动存储的安全解决方案[J].信息系统工程,2002,15(U04):69-69.
7忻俊.基于Client Honeypot的网络入侵检测系统[J].电脑知识与技术,2015,11(1X):69-71.
8郭川,李晓峰,马多贺,徐震.一种网页挂马攻击中的重定向混淆检测方法[J].网络新媒体技术,2014,3(3):21-27.
9安恒信息成功检测到APT攻击样本[J].信息网络安全,2016(3):92-92.
10朱锡瑞.基于模块间通信的网页木马检测技术的研究[J].科技致富向导,2014,0(35):79-79.

信息安全与通信保密

2015年第4期

浏览历史

内容加载中请稍等...

基于AST的网页木马解混淆技术

参考文献11

二级参考文献3

共引文献29

相关作者

相关机构

相关主题

浏览历史