技術(shù)領(lǐng)域

本發(fā)明屬于計算機安全領(lǐng)域，提出一種大規(guī)模惡意網(wǎng)頁檢測方法及系統(tǒng)，采用三層并行架構(gòu)和分層監(jiān)控保障的策略，聯(lián)合使用虛擬主機技術(shù)和并行沙盒技術(shù)，構(gòu)建大規(guī)模持續(xù)運行的自動化分析環(huán)境，動態(tài)檢測網(wǎng)頁中包含的網(wǎng)絡(luò)木馬威脅。

背景技術(shù)

目前互聯(lián)網(wǎng)已經(jīng)成了傳播惡意程序的重要途徑。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)2008年1月發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，我國網(wǎng)民人數(shù)已超過2億，網(wǎng)民在日常生活中對萬維網(wǎng)的依賴將越來越強。同時，我國互聯(lián)網(wǎng)資源也在迅猛增長，域名、網(wǎng)站、網(wǎng)頁的年增長率都超過60％。然而，近兩年基于互聯(lián)網(wǎng)的安全問題卻層出不窮，并有逐漸加劇之勢。2007年網(wǎng)民電腦感染惡意代碼的比率高達90.8％，接近一半的網(wǎng)民有個人信息、賬號被盜或被修改的經(jīng)歷。

據(jù)統(tǒng)計，2008年1月至10月，全國約有8100多萬臺電腦(包含企業(yè)用戶)曾經(jīng)被病毒感染，其中通過網(wǎng)頁掛馬方式被感染的超過90％。近兩年來，木馬病毒已經(jīng)成為惡意代碼發(fā)展的主要方向，從2007、2008兩年來反病毒廠商截獲的新增病毒樣本數(shù)來看，木馬病毒的比例都占到60％以上。通過在網(wǎng)頁上掛馬，利用瀏覽器及其插件的漏洞，獲得執(zhí)行權(quán)限，進而劫持瀏覽器，植入木馬病毒，是當(dāng)前木馬病毒傳播的主要途徑。

傳統(tǒng)的網(wǎng)頁木馬檢測技術(shù)通常依靠基于靜態(tài)特征的方法對網(wǎng)頁中包含的惡意代碼進行掃描和識別[參見專利：基于統(tǒng)計特征的網(wǎng)頁惡意腳本檢測方法，專利號ZL200610152531.8，北京理工大學(xué)]。但網(wǎng)頁木馬編寫者往往使用了“免殺”技術(shù)，利用頁面混淆和加密等各種方法躲避反病毒軟件的檢測。因此，僅僅給出某個網(wǎng)頁文檔中包含網(wǎng)頁木馬的告警信息是不充分的。

針對瀏覽掛馬網(wǎng)頁會對系統(tǒng)造成惡意侵害的行為特點，研究領(lǐng)域提出了基于客戶端蜜罐技術(shù)思路的動態(tài)行為檢測方法，該方法依據(jù)網(wǎng)頁木馬對蜜罐環(huán)境的“損害結(jié)果”進行判定，對混淆機制免疫、能夠檢測新出現(xiàn)網(wǎng)頁木馬，被作為監(jiān)測網(wǎng)頁木馬所普遍應(yīng)用的新型技術(shù)。在部署上，傳統(tǒng)的高交互蜜罐常依賴虛擬主機程序(如VMWare，QEMU等)來構(gòu)建沙箱，沙箱又叫沙盒，用于為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供試驗環(huán)境。通常，這種技術(shù)被計算機技術(shù)人員廣泛使用，尤其是計算機反病毒行業(yè)，沙箱是一個觀察計算機病毒的重要環(huán)境。沙盒中的所有改動對操作系統(tǒng)不會造成損失。通過傳統(tǒng)方式部署，一個虛擬主機節(jié)點內(nèi)進行實現(xiàn)一個沙箱環(huán)境，同一時期僅能運行單個任務(wù)，分析效率較低，且未提供明確的保障措施保證系統(tǒng)的持續(xù)運行。[參見：基于客戶端蜜罐的惡意網(wǎng)頁檢測系統(tǒng)的設(shè)計與實現(xiàn)，孫曉妍、王洋、祝躍飛、武東英，計算機應(yīng)用，2007年第27(7)卷；All?Your?iFRAMEs?Point?to?Us，Niels?Provos?Panayiotis?MavrommatisMoheeb?Abu?Rajab?Fabian?Monrose，17th?USENIX?Security?Symposium]

發(fā)明內(nèi)容

本發(fā)明為提高分析效率，提出一種三層并行架構(gòu)的惡意網(wǎng)頁檢測方法及系統(tǒng)，通過分層控制來保障系統(tǒng)的持續(xù)運行。所述系統(tǒng)提供了高效自動化分析環(huán)境，可持續(xù)運行、動態(tài)檢測網(wǎng)頁中的網(wǎng)絡(luò)木馬威脅。

本發(fā)明的技術(shù)方案概述如下：

一種大規(guī)模惡意網(wǎng)頁檢測方法，其步驟包括：

1)將若干檢測服務(wù)器通過網(wǎng)絡(luò)互接，在某一檢測服務(wù)器上設(shè)置待分析任務(wù)集；

2)在各個檢測服務(wù)器內(nèi)部署節(jié)點自動分發(fā)模塊，利用虛擬主機實現(xiàn)分析節(jié)點分發(fā)，并行部署多個分析節(jié)點，同一服務(wù)器內(nèi)的所有節(jié)點構(gòu)成一個節(jié)點簇，部署節(jié)點簇監(jiān)控模塊，通過訪問分析節(jié)點內(nèi)部文件的方式監(jiān)控分析節(jié)點的運行情況，對節(jié)點簇內(nèi)所有節(jié)點狀態(tài)進行監(jiān)控，如果節(jié)點運行不正常，則調(diào)用腳本程序重置分析節(jié)點；

3)分析節(jié)點通過內(nèi)部網(wǎng)絡(luò)連接待分析任務(wù)集獲取待分析任務(wù)，實現(xiàn)任務(wù)的分布式調(diào)度，分析節(jié)點內(nèi)部部署蜜罐環(huán)境和掛馬網(wǎng)頁檢測模塊，構(gòu)建并行沙箱環(huán)境實現(xiàn)待分析任務(wù)并行化檢測；由檢測狀態(tài)監(jiān)控模塊監(jiān)控掛馬網(wǎng)頁檢測模塊的運行，檢測結(jié)果保存在服務(wù)器上的分析結(jié)果數(shù)據(jù)庫中。

所述待分析任務(wù)集通過網(wǎng)頁爬蟲或其他方式收集到。

所述節(jié)點分發(fā)模塊通過網(wǎng)絡(luò)獲取分析節(jié)點的初始鏡像，利用虛擬機程序提供的API接口編寫的虛擬機復(fù)制腳本，自動在每臺物理主機上部署多個分析節(jié)點。