互聯(lián)網(wǎng)的不斷發(fā)展,其中的安全問(wèn)題也隨著顯現(xiàn)。Drive-by download攻擊通過(guò)用戶在訪問(wèn)含有針對(duì)其瀏覽器漏洞的利用代碼的網(wǎng)頁(yè),分發(fā)惡意軟件的下載并執(zhí)行。自出現(xiàn)以來(lái),Drive-bydownload攻擊不斷發(fā)展并且成為了惡意軟件分發(fā)的主要途徑。本文對(duì)國(guó)內(nèi)外針對(duì)該攻擊的檢測(cè)技術(shù)進(jìn)行了深入的研究,提出了基于AdaBoost-SVM算法的攻擊檢測(cè)方法,并設(shè)計(jì)實(shí)現(xiàn)了檢測(cè)系統(tǒng)。本文的主要工作和創(chuàng)新點(diǎn)如下:通過(guò)對(duì)HTTP信息的統(tǒng)計(jì),提出5個(gè)能夠區(qū)分正常下載行為和Drive-by download行為的特征,能夠克服已有研究對(duì)規(guī)避技術(shù)、重定向方式檢測(cè)的不足。本文提出的5個(gè)新特征如下:下載經(jīng)過(guò)站點(diǎn)數(shù)量、下載惡意文件數(shù)量、HTTP響應(yīng)包含X-Powered-By字段次數(shù)、瀏覽器隱身次數(shù)、javascript混淆調(diào)用函數(shù)次數(shù)�；谥囟ㄏ蜿P(guān)系,通過(guò)HTTP請(qǐng)求中的referer字段、HTTP響應(yīng)中的Location字段、響應(yīng)實(shí)體中URL,提出獲取可執(zhí)行文件分發(fā)路徑的方法。針對(duì)現(xiàn)有檢測(cè)模型的缺陷,本文采用基于AdaBoost-SVM算法的Drive-by download檢測(cè)方法。使用AdaBoost算...

【文章頁(yè)數(shù)】：77 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２．１偷渡式下載過(guò)程??目前，攻擊者通常采用代碼混淆和重定向這兩種方式對(duì)用戶電腦進(jìn)行攻擊

北京郵電大學(xué)工學(xué)碩士學(xué)位論文??用戶訪問(wèn)受損站點(diǎn)。??受損站點(diǎn)服務(wù)器使用例如ｉｆｍｍｅ嵌套的方式將用戶重定向到跳板站載滲透代碼。以Ｊａｖａｓｃｒｉｐｔ為主的攻擊代碼將對(duì)用戶瀏覽器存在的漏滲透。??一次從受損站點(diǎn)到跳板站點(diǎn)的重定向。??攻擊代碼成功滲透漏洞后，將使得用戶電腦向惡意軟....

圖２．４采集數(shù)據(jù)包步驟??

圖２．４采集數(shù)據(jù)包步驟??字符串指針能夠作為ｐｃａｐ＿ｏｐｅｎ＿ｌｉｖｅ（）或ｐ特別的，如果當(dāng)前設(shè)備可用網(wǎng)卡不止一塊，組成。??ｕｐｄｅｖ（）函數(shù)打開(kāi)網(wǎng)絡(luò)設(shè)備，該函數(shù)由五個(gè)。參數(shù)ｓｎａｐｌｅｎ限制最大能夠采集到的數(shù)種模式。參數(shù)ｔｏ＿ｍＳ表示經(jīng)過(guò)多長(zhǎng)時(shí)間超空指針，來(lái)指示錯(cuò)誤信息。ｐ....

圖２．５?ｓｋｉ?ｅａｒｎ流＜?程圖??估計(jì)器（Ｅｓｔｉｍａｔｏｒ）其實(shí)就是模型，它用于對(duì)數(shù)據(jù)的預(yù)測(cè)或回歸，基本上估計(jì)器??都會(huì)有以下幾個(gè)方法：ｆｉｔ（ｘ，ｙ）：傳入數(shù)據(jù)以及標(biāo)簽即可訓(xùn)練模型，訓(xùn)練的時(shí)間和??

圖２．５?ｓｋｉ?ｅａｒｎ流＜?程圖??估計(jì)器（Ｅｓｔｉｍａｔｏｒ）其實(shí)就是模型，它用于對(duì)數(shù)據(jù)的預(yù)測(cè)或回歸，基本上估計(jì)器??都會(huì)有以下幾個(gè)方法：ｆｉｔ（ｘ，ｙ）：傳入數(shù)據(jù)以及標(biāo)簽即可訓(xùn)練模型，訓(xùn)練的時(shí)間和??參數(shù)設(shè)置，數(shù)據(jù)集大小以及數(shù)據(jù)本身的特點(diǎn)有關(guān)。ｓｃ〇ｒｅ（ｘ，ｙ）用于對(duì)模....

圖３．１偷渡式下載在站點(diǎn)數(shù)量上的分布圖??對(duì)收集到的３０２個(gè)正常下載數(shù)據(jù)集的分析后發(fā)現(xiàn)，單次下載經(jīng)過(guò)的站點(diǎn)數(shù)目??

站點(diǎn)數(shù)目小于３的次數(shù)為２０４個(gè)，整個(gè)數(shù)據(jù)集中占比達(dá)到６７．５％。通過(guò)對(duì)正常下??載行為的分析，發(fā)現(xiàn)正常下載行為的站點(diǎn)數(shù)目通常較小。偷渡式下載行為以及正??常下載行為所經(jīng)過(guò)的站點(diǎn)數(shù)量對(duì)比圖如圖３．２所示??２５０??２００?Ｖ??＼??１５０?＼??１００?＼??５０??＾?—??....

本文編號(hào)：3912776