技術領域

????本發明涉及網絡安全測量技術領域，特別是一種基于主動技術的惡意代碼捕獲方法。?

背景技術

互聯網的出現極大的改變了人們的生活方式和工作習慣，給人們帶來了各方面的便利，同時由于互聯網的開放性、脆弱性，使得互聯網的安全問題得到日益重視。而惡意代碼已經成為網絡安全最為嚴重的安全威脅之一，通過網絡下載和瀏覽器進行傳播成為了惡意代碼的主要傳播方式。這類惡意代碼借助于客戶端應用的漏洞和被動式觸發來感染目標主機，具有制作簡捷、傳播速度快、變種形式多樣、破壞力強等特點。與服務器端蜜罐系統不同，惡意代碼的泛濫已經嚴重威脅信息系統的安全，影響了互聯網正常有序的發展。

目前，蜜罐技術在互聯網安全威脅檢測上得到了廣泛的應用，已經成為了主流的惡意代碼捕獲技術。蜜罐技術本質上是一種對攻擊方法進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而對攻擊行為進行捕獲和分析，了解攻擊攻擊方使用的攻擊和方法。根據蜜罐系統與攻擊者的交互程度可以把蜜罐技術劃分為低交互蜜罐技術和高交互蜜罐技術。低交互蜜罐一般采用模擬或仿真網絡服務的方式，提供有限的交互，所以低交互式蜜罐的部署和維護比較簡單，也相對安全。DTK、Honeyd、Nepenthes都屬于低交互蜜罐。高交互蜜罐采用真實的操作系統搭建，具有良好的誘騙性和擴展性，能夠和攻擊者進行充分的交互，可以獲得大量的信息，但是風險性也很高。HoneyBow在高交互蜜罐系統上直接構建、通過文件系統實時監控和文件列表交叉對比的方法捕獲惡意感染高交互式蜜罐的惡意代碼樣本。HoneyBow使用了真實的存有安全漏洞的服務對惡意代碼進行誘騙，所捕獲的代碼會更全面，而且能夠捕獲未知惡意樣本。Argos蜜罐則基于Qemu構建，Qemu是一個x86仿真器，能夠對真是的Guest操作系統實施指令操作和監控，利用擴展動態污點分析技術對運行時刻的網絡數據進行分析，自動化的提取出網絡攻擊特征。

為了高效準確的發現惡意代碼，基于惡意代碼的傳播特點，結合網絡爬蟲和客戶端蜜罐的技術，本發明設計并實現了一個基于主動技術的惡意代碼捕獲系統。該系統通過網絡爬蟲來搜索互聯網資源，并結合主題相關性分析和惡意網頁特征碼匹配來獲取可疑的惡意URL數據源，利用高交互式客戶端蜜罐內的客戶端引擎自動化啟動IE瀏覽器，訪問可疑的URL地址，誘導目標網站的惡意代碼對客戶端系統進行攻擊，通過監控惡意網頁下載行為來捕獲惡意代碼。蜜罐捕獲系統對部署的環境有很高的要求，通常需要部署在公共網絡中，需要消耗很多資源。

發明內容

本發明提供一種基于主動技術的惡意代碼捕獲方法。

本發明采用如下技術方案：

一種基于主動技術的惡意代碼捕獲方法，其特征在于：

步驟一：設置種子URL，設置未下載URL列表，設置已下載URL列表，設置下載惡意代碼總數，設置惡意代碼數據庫，設置URL抽樣率，設置已下載惡意代碼數，已下載惡意代碼數初始值為0，進入步驟二；

步驟二：將種子URL加入到未下載URL列表中，進入步驟三；

步驟三：如果未下載URL列表中為空，退出方法；否則從未下載URL列表中隨機選擇一個URL進行下載，進入步驟四；

步驟四：在未下載URL列表中刪除所選URL，同時將所選URL加入到已經下載URL列表中，進行步驟五；

步驟五：對下載的URL頁面進行分析，如果同一頁面標簽內同時出現“width”及“height”二個關鍵詞且width和height屬性值都小于10，則記為可疑URL，進入步驟六，否則回到步驟三；

步驟六：按照URL抽樣率對下載的URL頁面中的URL進行抽樣，被抽樣中的URL如果不在已下載URL列表和未下載URL列表中，則加入到未下載URL列表中，進入步驟七；

步驟七：采用瀏覽器對可疑URL進行訪問，監控瀏覽器的運行，如果有代碼下載，則進入步驟八，否則回到步驟三；

步驟八：如果發現系統文件發生了增加、刪除或修改變化，進入步驟十一，否則進入步驟九；

步驟九：如果發現注冊表項發生創建和修改變化，進入步驟十一，否則進入步驟十；

步驟十：利用winpcap系統庫抓取系統所產生的網絡報文，如果下載的代碼運行訪問網絡，進入步驟十一，否則回到步驟三；