基于混合式客户端蜜罐的恶意网址收集系统的设计与实现

论文摘要

互联网越来越成为我们生活中不可缺少的工具,但是接入网络的计算机有被远程攻击的风险。在最近几年,网络上出现一种新的攻击类型:客户端攻击,攻击的对象是客户端应用程序。当客户端访问某个恶意服务器时,该服务器将恶意内容作为响应的一部分发送到客户端。比如当浏览器访问恶意Web服务器时,服务器返回含有攻击的恶意网页。如果攻击成功,则Web服务器可以在客户端机器上安装任意程序。当前浏览器是最易受攻击的客户端程序,所以恶意网站严重威胁客户端机器的安全,但是当前没有免费的关于恶意网址和Web威胁的综合性数据库可供研究。构建这样一个数据库是本文的目的。低和高交互式客户端蜜罐是两种检测恶意服务器的计算机安全技术,它们使用专用设备与潜在的恶意服务器交互,进而判断服务器是良性还是恶意的。这两种技术识别服务器响应各有优缺点,不能大规模且准确的分析Internet。为了提高识别恶意服务器的速度和准确度,本文结合这两种技术的优点,提出混合式客户端蜜罐模型以及调整静态检测算法的反馈机制。在此基础上,本文设计并部分实现了恶意网址收集系统。实验结果初步证明了混合式客户端蜜罐以及采用这种技术的恶意网址收集系统有比单一一种技术更好的效果。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究动机

1.2 需求分析

1.3 简化的系统结构

1.4 论文的主要内容和结构

第二章背景

2.1 恶意软件的定义

2.2 恶意软件的类型

2.2.1 病毒

2.2.2 蠕虫

2.2.3 特洛伊木马

2.2.4 间谍和广告软件

2.2.5 僵尸和僵尸网络

2.3 恶意软件检测算法

2.3.1 模式匹配检测算法

2.3.2 静态代码分析

2.3.3 启发式规则

2.4 客户端攻击及其检测

2.4.1 客户端攻击

2.4.2 静态检测算法

2.4.3 特征自动生成

2.4.4 行为分析

2.5 蜜罐技术

2.5.1 服务器端蜜罐

2.5.2 客户端蜜罐

2.6 相关工作

第三章混合式客户端蜜灌的提出及论证

3.1 混合式客户端蜜灌

3.2 反馈循环

3.2.1 模式匹配

3.2.2 启发式

3.2.3 静态代码分析

3.3 可行性分析

3.3.1 排队系统模型

3.3.2 速度增益分析

3.3.3 准确度分析

3.3.4 反馈循环–对检测准确度和速度的影响

3.3.5 扫描范围和频率

3.4 小结

第四章系统总体设计与实现

4.1 系统总体结构

4.2 系统实现

4.3 URL 种子模块

4.3.1 搜索引擎Seeder

4.3.2 垃圾邮件Seeder

4.3.3 黑名单Seeder

4.4 恶意网页检测

4.4.1 LIC-Honey

4.4.2 交叉扫描器

4.4.3 HIC-Honey

4.5 Web 接口

4.6 数据库设计

4.7 小结

第五章实验研究与分析

5.1 测试环境

5.2 客户端蜜罐技术初步评估

5.3 恶意网址收集系统初步评估

5.3.1 基于主题爬行网页

5.3.2 爬行结果

5.3.3 性能分析

5.3.4 恶意网址分析

5.4 混合式客户端蜜罐实验设计

5.4.1 测试数据的生成

5.4.2 LIC-Honey 评价

5.4.3 HIC-Honey 评价

5.4.4 混合式客户端蜜观评价

第六章总结与未来工作

6.1 本文的主要贡献

6.2 未来的研究方向

参考文献

致谢

附录 A 攻读硕士学位期间发表及录用的论文

基于混合式客户端蜜罐的恶意网址收集系统的设计与实现

论文摘要

论文目录

相关论文文献

猜你喜欢