技術(shù)領域

????本發(fā)明涉及網(wǎng)絡安全測量技術(shù)領域，特別是一種基于主動技術(shù)的惡意代碼捕獲方法。?

背景技術(shù)

互聯(lián)網(wǎng)的出現(xiàn)極大的改變了人們的生活方式和工作習慣，給人們帶來了各方面的便利，同時由于互聯(lián)網(wǎng)的開放性、脆弱性，使得互聯(lián)網(wǎng)的安全問題得到日益重視。而惡意代碼已經(jīng)成為網(wǎng)絡安全最為嚴重的安全威脅之一，通過網(wǎng)絡下載和瀏覽器進行傳播成為了惡意代碼的主要傳播方式。這類惡意代碼借助于客戶端應用的漏洞和被動式觸發(fā)來感染目標主機，具有制作簡捷、傳播速度快、變種形式多樣、破壞力強等特點。與服務器端蜜罐系統(tǒng)不同，惡意代碼的泛濫已經(jīng)嚴重威脅信息系統(tǒng)的安全，影響了互聯(lián)網(wǎng)正常有序的發(fā)展。

目前，蜜罐技術(shù)在互聯(lián)網(wǎng)安全威脅檢測上得到了廣泛的應用，已經(jīng)成為了主流的惡意代碼捕獲技術(shù)。蜜罐技術(shù)本質(zhì)上是一種對攻擊方法進行欺騙的技術(shù)，通過布置一些作為誘餌的主機、網(wǎng)絡服務或者信息，誘使攻擊方對它們實施攻擊，從而對攻擊行為進行捕獲和分析，了解攻擊攻擊方使用的攻擊和方法。根據(jù)蜜罐系統(tǒng)與攻擊者的交互程度可以把蜜罐技術(shù)劃分為低交互蜜罐技術(shù)和高交互蜜罐技術(shù)。低交互蜜罐一般采用模擬或仿真網(wǎng)絡服務的方式，提供有限的交互，所以低交互式蜜罐的部署和維護比較簡單，也相對安全。DTK、Honeyd、Nepenthes都屬于低交互蜜罐。高交互蜜罐采用真實的操作系統(tǒng)搭建，具有良好的誘騙性和擴展性，能夠和攻擊者進行充分的交互，可以獲得大量的信息，但是風險性也很高。HoneyBow在高交互蜜罐系統(tǒng)上直接構(gòu)建、通過文件系統(tǒng)實時監(jiān)控和文件列表交叉對比的方法捕獲惡意感染高交互式蜜罐的惡意代碼樣本。HoneyBow使用了真實的存有安全漏洞的服務對惡意代碼進行誘騙，所捕獲的代碼會更全面，而且能夠捕獲未知惡意樣本。Argos蜜罐則基于Qemu構(gòu)建，Qemu是一個x86仿真器，能夠?qū)φ媸堑腉uest操作系統(tǒng)實施指令操作和監(jiān)控，利用擴展動態(tài)污點分析技術(shù)對運行時刻的網(wǎng)絡數(shù)據(jù)進行分析，自動化的提取出網(wǎng)絡攻擊特征。

為了高效準確的發(fā)現(xiàn)惡意代碼，基于惡意代碼的傳播特點，結(jié)合網(wǎng)絡爬蟲和客戶端蜜罐的技術(shù)，本發(fā)明設計并實現(xiàn)了一個基于主動技術(shù)的惡意代碼捕獲系統(tǒng)。該系統(tǒng)通過網(wǎng)絡爬蟲來搜索互聯(lián)網(wǎng)資源，并結(jié)合主題相關性分析和惡意網(wǎng)頁特征碼匹配來獲取可疑的惡意URL數(shù)據(jù)源，利用高交互式客戶端蜜罐內(nèi)的客戶端引擎自動化啟動IE瀏覽器，訪問可疑的URL地址，誘導目標網(wǎng)站的惡意代碼對客戶端系統(tǒng)進行攻擊，通過監(jiān)控惡意網(wǎng)頁下載行為來捕獲惡意代碼。蜜罐捕獲系統(tǒng)對部署的環(huán)境有很高的要求，通常需要部署在公共網(wǎng)絡中，需要消耗很多資源。

發(fā)明內(nèi)容

本發(fā)明提供一種基于主動技術(shù)的惡意代碼捕獲方法。

本發(fā)明采用如下技術(shù)方案：

一種基于主動技術(shù)的惡意代碼捕獲方法，其特征在于：

步驟一：設置種子URL，設置未下載URL列表，設置已下載URL列表，設置下載惡意代碼總數(shù)，設置惡意代碼數(shù)據(jù)庫，設置URL抽樣率，設置已下載惡意代碼數(shù)，已下載惡意代碼數(shù)初始值為0，進入步驟二；

步驟二：將種子URL加入到未下載URL列表中，進入步驟三；

步驟三：如果未下載URL列表中為空，退出方法；否則從未下載URL列表中隨機選擇一個URL進行下載，進入步驟四；

步驟四：在未下載URL列表中刪除所選URL，同時將所選URL加入到已經(jīng)下載URL列表中，進行步驟五；

步驟五：對下載的URL頁面進行分析，如果同一頁面標簽內(nèi)同時出現(xiàn)“width”及“height”二個關鍵詞且width和height屬性值都小于10，則記為可疑URL，進入步驟六，否則回到步驟三；

步驟六：按照URL抽樣率對下載的URL頁面中的URL進行抽樣，被抽樣中的URL如果不在已下載URL列表和未下載URL列表中，則加入到未下載URL列表中，進入步驟七；

步驟七：采用瀏覽器對可疑URL進行訪問，監(jiān)控瀏覽器的運行，如果有代碼下載，則進入步驟八，否則回到步驟三；

步驟八：如果發(fā)現(xiàn)系統(tǒng)文件發(fā)生了增加、刪除或修改變化，進入步驟十一，否則進入步驟九；

步驟九：如果發(fā)現(xiàn)注冊表項發(fā)生創(chuàng)建和修改變化，進入步驟十一，否則進入步驟十；

步驟十：利用winpcap系統(tǒng)庫抓取系統(tǒng)所產(chǎn)生的網(wǎng)絡報文，如果下載的代碼運行訪問網(wǎng)絡，進入步驟十一，否則回到步驟三；