為保障內(nèi)部網(wǎng)絡(luò)系統(tǒng)中多種設(shè)備和機(jī)密數(shù)據(jù)等核心資產(chǎn)的安全,各種組織機(jī)構(gòu)將內(nèi)外網(wǎng)進(jìn)行隔離,使得移動(dòng)存儲(chǔ)介質(zhì)廣泛應(yīng)用于內(nèi)外網(wǎng)之間交換數(shù)據(jù)。由于對(duì)移動(dòng)存儲(chǔ)介質(zhì)缺乏嚴(yán)格的管控策略,內(nèi)部威脅人員可使用移動(dòng)存儲(chǔ)介質(zhì)威脅內(nèi)網(wǎng)安全。一方面,內(nèi)部威脅人員可使用移動(dòng)存儲(chǔ)介質(zhì)將惡意代碼注入內(nèi)網(wǎng)。現(xiàn)有惡意程序主要使用C/C++開發(fā),但完全使用JavaScript開發(fā)的惡意程序開始出現(xiàn),其可通過移動(dòng)存儲(chǔ)介質(zhì)注入內(nèi)網(wǎng)。另一方面,內(nèi)部威脅人員可基于Autorun機(jī)制,使用移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)化竊取機(jī)密數(shù)據(jù)。雖然該機(jī)制已被禁用,但是繞過該防御實(shí)現(xiàn)自動(dòng)化竊取數(shù)據(jù)的攻擊方式依舊存在。因此,本文對(duì)內(nèi)部威脅人員使用移動(dòng)存儲(chǔ)介質(zhì)向內(nèi)網(wǎng)中注入惡意JavaScript腳本和自動(dòng)化竊取數(shù)據(jù)兩個(gè)方面進(jìn)行研究,以進(jìn)一步提升內(nèi)網(wǎng)中的系統(tǒng)和數(shù)據(jù)安全保障能力。本文的主要工作及創(chuàng)新點(diǎn)如下:1)針對(duì)利用移動(dòng)存儲(chǔ)介質(zhì)注入惡意JavaScript腳本的行為,使用N-gram方法提取特征,并基于相關(guān)檢測(cè)算法實(shí)現(xiàn)在無需區(qū)分代碼是否被混淆的情況下完成檢測(cè)。2)針對(duì)將JavaScript代碼N-gram處理后特征維度較高的問題,本文利用TF-IDFlike方法計(jì)算... 

【文章來源】：中北大學(xué)山西省

【文章頁(yè)數(shù)】：61 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

Windows操作系統(tǒng)使用ScriptHost執(zhí)行JavaScript代碼結(jié)果

薷墓碳?納璞浮?（C）僅由電氣硬件組件組成的精制設(shè)備。通過移動(dòng)存儲(chǔ)設(shè)備竊取內(nèi)部核心數(shù)據(jù)和用戶隱私是執(zhí)行USB攻擊的主要惡意操作之一。在不需要修改固件執(zhí)行攻擊類別中，通過USB閃存驅(qū)動(dòng)器，基于Autorun、AutoPlay和U3的攻擊得到流行。該方法根據(jù)主機(jī)的配置方式，在無需與用戶交互的情況下，可以自動(dòng)執(zhí)行指定路徑的惡意可執(zhí)行文件，以達(dá)到惡意破壞或竊取數(shù)據(jù)的目的。例如，在移動(dòng)存儲(chǔ)介質(zhì)（盤符E）中新建Autorun.inf文件，加入如下格式代碼，當(dāng)與主機(jī)建立連接后可自動(dòng)執(zhí)行attack.exe可執(zhí)行文件，核心代碼如圖2-3所示。圖2-3Autorun攻擊示例代碼Figure2-3AutorunattackexamplecodePodSlurping攻擊是基于Autorun的攻擊的著名示例之一[51]，指將大量敏感文件從主機(jī)復(fù)制到USB存儲(chǔ)設(shè)備的行為。該方法在USB存儲(chǔ)設(shè)備上存儲(chǔ)攻擊程序，惡意程序會(huì)在設(shè)備與主機(jī)建立連接后自動(dòng)執(zhí)行數(shù)據(jù)竊取操作。另一個(gè)流行的示例是Hacksaw/Switchblade工具族[51]，這些工具基于可配置的閃存驅(qū)動(dòng)器，可以使用光盤，只讀存儲(chǔ)器（CD-ROM）分區(qū)進(jìn)行自定義。這些閃存驅(qū)動(dòng)器連接到主機(jī)后，會(huì)在主機(jī)上靜默安裝惡意程序，該程序會(huì)監(jiān)視主機(jī)是否連接了新的外部驅(qū)動(dòng)器，并在檢測(cè)到時(shí)將其上存儲(chǔ)的所有數(shù)據(jù)壓縮和拆分，然后將其發(fā)送到攻擊者指定的郵箱內(nèi)。出于安全考慮，Microsoft默認(rèn)情況下在Windows上禁用了可移動(dòng)驅(qū)動(dòng)器的AutoPlay功能，并且很快發(fā)展成為一種慣例，即完全禁用Autorun功能[50]。這種措施還可以通過

中北大學(xué)學(xué)位論文31時(shí)間開銷作為因變量，保留維度作為自變量，擬合成一條直線。1-gram和2-gram處理后使用本方法和使用PCA的時(shí)間開銷和保留維數(shù)的關(guān)系分別如圖3-1和圖3-2表示，橫軸表示保留的特征維度，單位為個(gè)，縱軸表示對(duì)應(yīng)的時(shí)間開銷，單位為秒。圖3-11-gram處理后使用本方法和使用PCA的時(shí)間開銷和保留維數(shù)的關(guān)系Figure3-1RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter1-gramprocessing圖3-22-gram處理后使用本方法和使用PCA的時(shí)間開銷和保留維數(shù)的關(guān)系Figure3-2RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter2-gramprocessing


本文編號(hào)：2930954