一種惡意代碼情報檢測分析方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)安全技術領域��,更為具體的講�,涉及一種基于安卓基于安卓的惡意代碼情報檢測分析系統(tǒng)。
【背景技術】
[0002]隨著計算機網(wǎng)絡在生活和工作中的大量應用����,互聯(lián)網(wǎng)給人們的生活帶來了各種便利����。于此同時,惡意網(wǎng)頁逐漸成為惡意代碼傳播或攻擊的主要渠道��。惡意網(wǎng)頁的實質是一個隱藏攻擊代碼的網(wǎng)頁����,用戶一旦訪問該網(wǎng)頁,惡意攻擊代碼就會自動對瀏覽器����、插件等帶有漏洞的軟件進行攻擊,最終在用戶不知情的情況下下載、安裝和執(zhí)行惡意代碼����,這種攻擊方式使客戶端系統(tǒng)就可能遭到不同程度的破壞,甚至造成隱私信息泄漏�,給使用者造成非常大的損失,更嚴重的可能會影響國家的安全���。
[0003]對于PC端��,集成在各種安全衛(wèi)士上的惡意代碼檢測模塊效率很低����,且準確性較差�����,極易造成漏報�����、誤報��,并且無法提供給用戶針對惡意代碼的專業(yè)性的處理建議����。而移動端惡意代碼防范領域幾乎是一片空白�,隨著用戶對手機上網(wǎng)的依賴程度逐年上升���,如何有效防范移動端惡意代碼攻擊成為一個亟待解決的重要問題���。
[0004]綜上所述,不論是移動端還是PC端����,目前針對惡意網(wǎng)站檢查機制還比較匱乏,還不夠有效�。這樣的準備下對于未來移動端瀏覽器攻擊爆發(fā)的風險顯然是不夠的。如何檢測瀏覽器惡意網(wǎng)站攻擊并對用戶提供有效的提示和建議是一個重要問題�����,對保障用戶的信息安全�、嚴厲打擊網(wǎng)絡犯罪都具有相當重要的意義����,因此當今市場急需一種能夠有效地檢測和分析惡意網(wǎng)頁的檢測系統(tǒng)。
【發(fā)明內容】
[0005]本作品設計實現(xiàn)的基于安卓的惡意代碼情報檢測分析系統(tǒng)����,采用基于抽象語法樹的特征碼檢測技術和低交互客戶端蜜罐檢測技術相結合�,先進行特征碼檢測技術排除掉大量的正常網(wǎng)站���,并在可疑處設置斷點�����。惡意網(wǎng)頁送入低交互客戶端蜜罐后模擬瀏覽器環(huán)境�����,同時執(zhí)行代碼���,從而發(fā)現(xiàn)網(wǎng)頁的惡意攻擊行為。系統(tǒng)采用C/S模式��,服務器端為惡意代碼檢測分析系統(tǒng)����,客戶端為安卓移動端或者PC端的瀏覽器插件。
[0006]系統(tǒng)分為一下幾個核心模塊:
[0007]1.低交互客戶端蜜罐模塊
[0008]低交互客戶端蜜罐中���,采用網(wǎng)頁動態(tài)視圖重構的方法���,將網(wǎng)頁在蜜罐中模擬運行的瀏覽器環(huán)境進行執(zhí)行�����,從而發(fā)現(xiàn)惡意攻擊行為���。網(wǎng)頁動態(tài)視圖重構方法在腳本動態(tài)執(zhí)行中能自動對抗網(wǎng)頁木馬的混淆,其重構出的網(wǎng)頁動態(tài)視圖保障了網(wǎng)頁木馬檢測的完備性�����。蜜罐以腳本解釋引擎為核心進行網(wǎng)頁腳本的動態(tài)解釋執(zhí)行來對抗混淆�,本系統(tǒng)采用GOOGLE公司的V8腳本解釋執(zhí)行引擎。通過解釋引擎來實現(xiàn)模擬瀏覽器環(huán)境執(zhí)行網(wǎng)頁代碼。
[0009]2.基于抽象語法樹特征碼匹配模塊
[0011]本系統(tǒng)采用基于抽象語法樹特征碼匹配,當用戶訪問網(wǎng)頁時����,系統(tǒng)就會將網(wǎng)頁的文本解析并把關鍵的特征碼與惡意網(wǎng)頁特征碼庫中做匹配�����,本系統(tǒng)中使用趨勢科技的惡意庫,如果匹配���,則此網(wǎng)頁是惡意網(wǎng)站�。通過抽象語法樹特征碼檢測,能把很大一部分正常網(wǎng)頁過濾掉�����,同時能把一些能成功匹配惡意特征碼的網(wǎng)頁認定為惡意網(wǎng)站��,減輕了接下來低交互客戶端蜜罐的工作量���,使其能更好檢測那些暗藏惡意代碼危險的網(wǎng)頁��。
[0012]3.客戶端與服務器通信模塊
[0013]客戶端本系統(tǒng)采用較軟件更輕量級的瀏覽器插件�,支持移動設備端的瀏覽器也支持電腦端的瀏覽器�����,瀏覽器類型基本覆蓋當今市場上的主流瀏覽器���。由于各個瀏覽器產商有著不同的瀏覽器插件標準���,所以要依據(jù)每個瀏覽器插件不同的標準來編寫系統(tǒng)所需的瀏覽器插件,主要采用Javascript技術來實現(xiàn)與后臺服務器的通信�,將用戶輸入網(wǎng)址的網(wǎng)址傳過去�,將系統(tǒng)檢測后的檢測結果通過瀏覽器彈出提示窗口來提示用戶該網(wǎng)頁是否安全��。
【附圖說明】
[0014]1.圖1是本發(fā)明基于客戶端-服務器結構的【具體實施方式】結構圖�����。
[0015]2.圖2是本發(fā)明在服務器端基于低交互蜜罐和抽象語法樹匹配算法的【具體實施方式】流程圖����。
[0016]3.圖3是本發(fā)明基于抽象語法樹匹配算法的【具體實施方式】流程圖。
[0017]4.圖4是本發(fā)明基于低交互蜜罐的【具體實施方式】流程圖��。
[0018]5.圖5是安裝了惡意代碼情報檢測客戶端的谷歌瀏覽器訪問正常網(wǎng)頁返回的安全消息圖�����。
[0019]6.圖6是在安卓手機上安裝了惡意代碼情報檢測客戶端的手機谷歌瀏覽器訪問正常網(wǎng)頁返回的安全消息圖��。
[0020]7.圖7是安裝了惡意代碼情報檢測客戶端的谷歌瀏覽器訪問惡意網(wǎng)頁返回的警告消息圖�����。
【具體實施方式】
[0021]下面結合附圖對本發(fā)明的【具體實施方式】進行描述����,以便本領域的技術人員更好地理解本發(fā)明。需要特別注意的是����,在以下的描述中,當已知功能和設計的詳細描述也許會淡化本發(fā)明的主要內容時�����,這些描述在這里將被忽略��。
[0022]圖1是本發(fā)明基于客戶端-服務器結構的【具體實施方式】結構圖����。
在本實施例中,如圖1所示���,網(wǎng)頁木馬的檢測被客戶端和服務器兩方協(xié)作完成���。又用戶發(fā)送當下正在瀏覽的網(wǎng)頁地址至服務器端,此標志著一項檢測任務的開始���。服務器端接收到客戶發(fā)送的請求后進入如圖2所示的服務器端檢測流程�����,最終將檢測好的報告發(fā)送給用戶�。
[0023]雖然檢測軟件會定期從服務器更新病毒庫列表,但傳統(tǒng)的網(wǎng)頁木馬檢測活動基本完全在本地進行���。這樣的檢測勢必將占用本地的處理資源����,不能適應移動端降低功耗���、延長續(xù)航的要求��。
[0024]我們所提出的客戶端-服務器的檢測模式將檢測任務交到處理能力強���、受功耗限制不明顯的服務器端進行,客戶端(也就是實際使用中的移動端)在此過程中只負責少量信息的接收發(fā)送�����,可以適應更嚴格的功耗要求�。
[0025]完成上述客戶端任務的主體是瀏覽器插件,其功能基本相同�,實現(xiàn)也較為簡單一一發(fā)送檢測要求并接收檢測報告。這樣的設計也使得該系統(tǒng)擁有了更靈活的使用范圍,可以對不同平臺上的多種瀏覽器進行適配�����,再開發(fā)成本較低�����。
[0026]圖2是本發(fā)明在服務器端基于低交互蜜罐和抽象語法樹匹配算法的【具體實施方式】流程圖��。
[0027]步驟201:用戶在輸入網(wǎng)頁URL地址后出發(fā)情報系統(tǒng)�����,將信息在后臺發(fā)送至服務器端開始檢測����。
[0028]步驟202:服務器端在接收到用戶發(fā)來的URL地址��。
[0029]步驟203::啟動抽象語法樹匹配算法檢測模塊����,并將檢測結果按照匹配程度分為高低匹配率兩種分類。
[0030]步驟204:當匹配率較高時����,已經說明該網(wǎng)頁有很大可能是含有惡意代碼的網(wǎng)頁����,該系統(tǒng)將直接向用戶回傳風險評估報告�。
[0031]步驟205:當匹配率較低,說明該網(wǎng)頁有可能是安全的��,但還需進一步檢測���,此時系統(tǒng)在少數(shù)可能含有惡意代碼的位置設置斷點并進入低交互客戶端蜜罐檢測模塊��。
[0032]低交互客戶端蜜罐模塊在接收到含有斷點標記的