病毒网页病毒

收稿日期:2005-04-09;修返日期:2005-08-15基金项目:国家"863"计划资助项目(2003AA146010)网页病毒防御系统的设计*魏建平,魏强,吴灏(信息工程大学信息工程学院,河南郑州450002)摘要:随着网络的发展,作为用户与网络交互的一个平台,IE的应用已经非常广泛.
而基于IE传播的网页病毒已经成为影响网络安全的主要问题之一.
首先介绍了基于IE传播的网页病毒的特点,并与其他木马病毒的传播模式进行了比较;然后提出了一种针对网页病毒的防御系统设计,并将免疫防护的思想应用到病毒检测系统中,该防御系统的设计对未来的网页病毒防御具有一定的参考价值;最后对将来需要进一步研究的工作提出了一些建议和设想.
关键词:计算机病毒;恶意代码;网页病毒;网页处理;免疫中图法分类号:TP393.
08文献标识码:A文章编号:1001-3695(2006)08-0120-03DesignofWebPageVirusDefenseSystemWEIJian-ping,WEIQiang,WUHao(InstituteofInformationEngineering,InformationgEngineeringUniversity,ZhengzhouHenan450002,China)Abstract:WiththerapiddevelopmentofInternet,InternetExplorerhasbeenusedbymoreandmorepeopletocommunicatewiththeworld.
Meantime,WebpageviruspropagatedbyIEhasbecomeoneofthemostimportantnetworksecurityproblem.
ThepaperfirstlyintroducesthecharacteristicsofWebpagevirusspreadbyIEandalsogivesacomparisonwithotherbackdoorandTrojanpatterns.
ThenitproposesadesignofWebpagevirusdefensesystem,whichusestheimmunizationtechnologyintothesystem.
Thedesignofthedefensesystemhassomevalueforfuturereference.
Atlast,thepapercontributessomeadvicesanddesignsforworkinthefuture.
Keywords:ComputerVirus;MaliciousCode;WebPageVirus;WebPageProcessing;Immunization网页病毒是一种利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、JavaScript脚本语言程序、ActiveX软件部件网络交互技术支持可自动执行的代码程序等,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序[1].
随着Java,JavaScript,VBScript等一些新的网页编程语言的出现,Web网页的外观变得更美观,功能也变得更强大.
但是从网络安全的角度来看,恰恰是内嵌了这些语言编写的程序的网页变成了网页病毒滋生的温床.
当用户访问一个含有网页病毒的网站时,用户的浏览器会将这些病毒代码下载到客户端并执行,其结果就会造成用户的系统被网页病毒感染.
根据美国国际计算机安全协会发布的病毒疫情调查报告显示,网页病毒出现后数量发展迅猛,原因是网页病毒的编写难度较低.
目前,很多计算机黑客通过设置恶意网站,以各种诱饵吸引用户访问他们的网站,然后通过网页中的计算机病毒和有害代码侵入用户的计算机系统,利用开设后门或自动发送邮件等方式盗取计算机用户的信息,严重威胁着信息安全[2].
随着网络安全的发展,网页病毒对整个网络造成的危害越来越得到人们的关注.
网页病毒是一种通过网络媒介进行传播的病毒,它具有传播速度快、病毒载体多样化、破坏力强等特点.
随着网页浏览器使用广泛性的增强,网页病毒不但保留了原有的利用用户系统漏洞进行被动传播的方式,而且衍生出了利用搜索引擎进行扩散的主动传播方式[3].
由于融合了IE漏洞利用技术及社会工程学,网页病毒采用的技术手段更加多样化,甚至出现了多态、变形的病毒体.
由于病毒库的更新滞后于病毒的产生,所以单纯地采用杀毒软件等方法对网页病毒进行防御的传统方法存在着很大的局限性.
对于安全要求比较高的用户来说,需要有一个积极主动的、融合多种查杀手段的防御系统.
为此本文提出了针对网页病毒的自动防御系统设计.
1网页病毒的特点网页病毒的特点在于,利用Web网页作为载体,通过Web网页在互联网络中进行迅速而广泛的传播病毒.
网页病毒通常以建立网页的文件为宿主,一般感染HTML文件或ASP文件.
在这些文件中内嵌着具有传染性或破坏性的JavaApplet,JavaScript,VBScript或者ActiveX程序[4].
它一般采取趁用户浏览网页时才对用户系统进行感染传播的被动传播方式;也有一些网页病毒会"搭乘"一些搜索引擎来攻击存在漏洞的网页,从而实现主动的传播.
最近出现的一些网页病毒就能够被植入到任意的Web页内,因而就产生了一个不同的网页病毒分发传播机制.
所以网页病毒的新变种具有更大的传播、破坏·021·计算机应用研究2006年威力.
网页病毒一般可分为传播模块、隐藏模块、功能模块三大组成部分.
传播模块的实现机制往往被用来作为区别网页病毒类型的主要依据[5].
一般来说,网页病毒主动传播是在Web服务器之间进行的,而被动传播是指Web用户访问了含有网页病毒的Web服务器而导致Web用户主机被感染.
目前大多数网页病毒在感染Web服务器时采用的是主动传播模式,而Web服务器一旦被网页病毒感染之后,当Web用户访问这些Web服务器时,Web用户的系统又有可能被网页病毒感染.
1.
1网页病毒的主动传播模式以北京冠群金辰全球病毒监测网捕获到的一个名为Win32/H4.
1852病毒和著名反病毒厂商卡巴斯基实验室率先监测到的名为Santy的蠕虫为代表,这种具有主动传播特性的网页病毒的共同特征是搭乘搜索引擎对Web服务器和应用程序组件的某个漏洞进行攻击.
这种网页病毒采用"扫描—攻击—复制"的传播模式,如图1所示.
扫描,是对网络中存在某特定漏洞的Web服务器进行探测.
当程序向某台Web服务器发送探测漏洞的信息并收到满足条件的反馈信息后,就确认该主机为一个可传播的对象[6].
攻击,即通过对可传播对象的漏洞的利用来获取该Web服务器对象主机的控制权限(一般为管理员权限),通常是获得一个Shell,对Win2k系统来说就是Cmd.
exe,得到这个Shell后就拥有了对整个系统的控制权.
复制,当具有了对传播Web服务器对象主机的控制权后,复制模块就可以通过本机和新Web服务器对象主机的交互将蠕虫程序复制到新主机并启动该程序,从而达到感染该Web服务器主机的目的.
1.
2传统网页病毒的被动传播模式传统的网页病毒以Web网页作为载体,通过Web网页在互联网络中进行迅速而广泛的病毒传播.
网页病毒通常以建立网页的文件为宿主,当网页用户访问网页时对网页用户主机进行感染.
一般来说,网页病毒所采用的被动传播模式为:向Web用户提供URL地址—Web用户访问带有网页病毒的网页—Web用户计算机感染病毒,如图2所示.
虽然有时候网页病毒也会主动发送病毒邮件进行扩散,但是感染主机的方式却是被动执行的.
网页病毒传播过程如下:(1)向Web用户提供URL地址网页病毒的制造者会依托一个Web服务器传播网页病毒.
最常见的方法是通过论坛、QQ等聊天工具或者邮件等方式向Web用户提供含有网页病毒的Web服务器的URL,以各种诱饵吸引用户访问他们的网站,从而达到入侵Web用户主机的目的.
(2)Web用户访问被感染的Web服务器只有当Web用户访问被感染的Web服务器的时候,网页病毒才有可能实现对Web用户主机的入侵.
(3)感染病毒网页病毒感染主机的方式是被动的,只有当Web用户打开URL时,Web服务器上的病毒才会得以执行并且感染该主机.
1.
3网页病毒的发展趋势(1)种类更模糊恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种,而可能是它们的混合,如蠕虫产生寄生的文件病毒、特洛伊程序、口令窃取程序、后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别.
(2)混合传播模式网页病毒的传播模式是主动传播与被动传播相结合的混和传播模式.
(3)多平台多平台攻击开始出现,有些恶意代码对不兼容的平台都能够有作用.
来自Windows的蠕虫可以利用Apache的漏洞,而Linux蠕虫会派生EXE格式的特洛伊.
(4)使用销售技术另外一个趋势是更多的恶意代码使用销售技术,其目的不仅在于利用受害者的邮箱实现最大数量的转发,更重要的是引起受害者的兴趣,让受害者进一步对恶意文件进行操作,并且使用网络探测、电子邮件脚本嵌入和其他不使用的技术来达到自己的目的.
(5)服务器和客户机同样遭受攻击对网页病毒来说服务器和客户机的区别越来越模糊,客户计算机和服务器如果运行同样的应用程序,也将会同样受到恶意代码的攻击.
像IIS服务是一个操作系统缺省的服务,因此它的服务程序的缺陷是各个机器都共有的,CodeRed的影响也就不限于服务器,还会影响到众多的个人计算机.
(6)Windows操作系统遭受的攻击最多Windows操作系统更容易遭受恶意代码的攻击,它也是病毒攻击最集中的平台,病毒总是选择配置不好的网络共享和服务作为进入点.
其他溢出问题,包括字符串格式和堆溢出,仍然是滤过性病毒入侵的基础,病毒和蠕虫的攻击点和附带功能都是由作者来选择的.
另外一类缺陷是允许任意或者不适当的执行代码,随着Scriptlet.
typelib和Eyedog漏洞在聊天室的传播,JS/Kak利用IE/Outlook的漏洞,导致两个ActiveX控件在信任级别执行,但是它们仍然在用户不知道的情况下执行非法代码[7].
最近的一些漏洞帖子报告说,WindowsMediaPlayer可以用来旁路Outlook2002的安全设置,执行嵌入在HTML邮件中的JavaScript和ActiveX代码,这种消息肯定会引发黑客的攻击热情.
利用漏洞旁路一般的过滤方法是网页病毒采用的典型手法之一.
(7)网页病毒的类型变化一类网页病毒代码是利用MIME边界和Uuencode头的处·121·第8期魏建平等:网页病毒防御系统的设计被感染Web服务器机扫描Web服务器确定可传播对象获取目标权限感染目标Web服务器感染Web用户主机扫描阶段攻击阶段复制阶段循环传播主动传播阶段被动传播阶段图1网页病毒的主动传播模式被感染Web服务器Web用户访问被感染的Web服务器向Web用户提供URL地址Web用户主机被感染图2网页病毒的被动传播模式理薄弱的缺陷,将网页病毒代码化装成安全数据类型,欺骗客户软件执行不适当的代码[8].
2网页病毒防御系统的设计网页病毒防御系统的主要保护对象是Web服务器及其用户,它的主要目的是能够快速自动发现含有网页病毒的网站,能够过滤发送给受保护用户的有害URL链接,并且可以主动发现最新出现的网页病毒并添加到病毒库中,及时对用户进行预警.
在系统中提供以下基本功能:(1)能够检测出网页病毒网站中所包含的已知病毒.
(2)能够将网页自动下载,根据设定的监测目标自动探测是否提供Web服务.
如果提供Web服务,将自动下载网页到本地指定的目录中.
对Web网站访问的深度可以通过配置设定.
(3)网页病毒检测.
启动病毒检测引擎,对下载的网页进行扫描,若发现病毒将病毒名称或者分离出来的病毒代码写入日志文件,即能够发现新的网页病毒并自动提取其特征,添加到病毒库中[3].
(4)发现病毒时,能够有效保护自己的机器.
防御系统力求达到以下目标:系统性能较高,对正常网页浏览处理效率的影响较小;病毒的误报率、漏报率较低;系统自身稳定性好、安全性高.
2.
1网页病毒防御系统的组成在系统防御需求及功能分析基础上,把网页病毒防御系统划分为以下五个子系统,如图3所示.
(1)虚拟Web用户机以Web用户访问的URL作为监控对象,从中检测出对浏览器客户端可能构成危害的URL.
为实现这个目的,本子系统需要完成三部分工作:获取Web用户访问的URL;利用基于内容的分析方法对获取的URL进行分析,在其中采用模式匹配方法对进出浏览器的数据进行检测,从中找出对用户系统可能构成危害的数据;对可能有害的URL进行处理.
(2)自动下载子系统可以对指定的URL进行自动下载;可以对指定的IP地址范围进行自动侦测是否存在Web服务,并实现自动下载;对下载的Web页面进行标签分析,按照扫描深度,对该页面的其他链接进行自动下载;对于下载的网页中未被过滤掉的恶意脚本,通过病毒检测子系统进行检测.
(3)病毒检测子系统对下载的Web页面内容进行病毒的检测和分析.
(4)病毒报警子系统病毒发现子系统的主要功能是:通过杀毒软件对下载的可疑网页进行初步检测,对发现病毒的有关信息进行保存处理;提供感染病毒的URL;分离未知病毒代码,并予以显示,并且将无法辨别其性质的网页代码发送给免疫防护子系统.
一旦经免疫防护子系统检测后发现病毒,该子系统将获取该病毒的特征标志,添加到病毒库中[9].
(5)免疫防护子系统通过免疫防护子系统对病毒报警子系统所提交的可疑网页进行安全检测.
被检测的网页代码将在该子系统上执行,通过该子系统的报警信息以及对执行后检测系统的行为进行监测,如发现异常则可判断该网站为受感染网站.
2.
2网页病毒的防御过程该防御系统对网页病毒的防御过程按照子系统的划分包括以下几个步骤:指定网页下载、病毒检测、病毒特征收集、提交免疫防护子系统和将安全的URL发送给最终接收用户.
具体的防御过程如图4所示.
2.
3系统防御过程中的关键技术(1)将恶意代码从网页中分离出来由于绝大多数基于Web的网页病毒都是通过执行一些恶意代码对计算机进行感染的,如果能够将恶意代码从网页中分离出来,那么就可以有效地防止网页病毒感染受保护的URL访问者的计算机.
含有网页病毒的网页一般都由两部分组成:网页病毒和正常的网页.
我们将恶意代码屏蔽而对正常的网页文件进行访问,做到了既保护自身系统的安全,又实现了对Web资源的共享.
但是最新的网页病毒早已不再局限于利用一些脚本语言程序以强行修改用户操作系统设置及系统实用配置程序那么简单,很多计算机病毒程序或代码可以通过各种形式寄存在网页上.
随着病毒隐藏技术的发展以及各种漏洞的发现,网页病毒更加无处不在,所以仅仅通过对某些类型的网页脚本进行过滤是远远不够的[10].
(2)利用免疫防护系统对网页进行检测免疫防护系统的技术来源于现代医学的免疫思想,也被称为异常发现技术.
它通过实时进程监控,监测并保存本机上正在运行进程的完整信息,对启动的所有程序都强制进行认证.
对于专门用来监测网页病毒的系统而言,系统环境是相对稳定的,可以静态地计算出运行的进程数、各进程打开的文件等各项指标,同时记载在层次目录结构(当前工作目录或指定目录)中各目录占用的磁盘块数,即用户对文件系统的使用情况等.
上述信息将作为本机的特征库.
当提交到免疫防护系统的网页代码被执行后,系统将会自动将之前记载的系统信息与当前进程运行状况作比较,发现异常则会作出警报,如创建新的文件、启动新的不明任务等,并且对网页病毒特征进行标志并提交给服务器.
(3)采用多层检测技术现有很多种病毒检测软件,它们对病毒库中的已知病毒所感染的的检测十分有效,但是对未知的、(下转第132页)·221·计算机应用研究2006年自动下载子系统病毒检测子系统病毒报警子系统分离网页文件提交网页文件免疫防护子系统检测网页代码检测结果受保护用户正常访问URL正常访问URL虚拟Web用户机病毒特征标志提交可疑的URL提交正常的URL接收URL互联网图4网页病毒防御体系图3网页病毒防御系统子系统划分网页病毒防御系统虚拟Web用户机自动下载子系统病毒检测子系统病毒报警子系统免疫防护子系统(3)在实际的系统中,限制同一个加密对象的通信次数,特别是限制使用同一对密钥与同一个对象通信发生错误的次数.
通过这一措施,将有效地防止攻击者获得ESA解密随机预言模型,达到防止ESA的目的.
由于NTRU的密钥生成算法速度相当快,当解密者发现解密错误出现的频率异常时,可以生成一对新的密钥对,要求会话更新使用新的密钥,从而避免了同一对密钥泄漏过多的解密失败信息.
5结论本文比较了公钥密码攻击一般模式对PPKC和IPKC的不同影响,提出了一种专门针对IPKC的新型攻击方法———错误探测攻击ESA.
ESA通过搜寻解密失败的实例,结合不同IP-KC公钥密码解密失败的原因,从中推测系统的秘密信息.
本文还设计了一种针对NTRU的ESA算法,该算法可以恢复私钥f的部分或者全部信息.
最后针对ESA的特点提出了增加NTRU抵抗ESA的一些具体措施,这些措施略加修改也可以适用于其他的IPKC.
参考文献:[1]iklosAjtai,CynthiaDwork.
APublic-KeyCryptiosystemwithWorst-Case/Average-CaseEquivalence[DB/OL].
ftp://ftp.
eccc.
uni-trier.
de:/pub/eccc/,2005-05-01.
[2]OGoldreich,SGoldwasser,SHalevi.
Public-KeyCryptosystemsfromLatticeReductionsProblems[DB/OL].
ftp://ftp.
eccc.
uni-trier.
de:/pub/eccc/,2005-05-01.
[3]JeffreyHoffstein,JillPipher,JosephHSilverman.
NTRU:ARing-basedPublic-KeyCryptosystem[C].
Proc.
ofANTSIII,Springer-Verlag,1998.
267-288.
[4]WenboMao.
ModernCryptography:TheoryandPractice[M].
Pub-lishingHouseofElectronicsIndustry,2004.
[5]CHall,IGoldberg,BSchneier.
ReactionAttacksAgainstSeveralPublic-KeyCryptosystems[EB/OL].
http://www.
counterpane.
com,2005-05-01.
[6]JeffreyHoffstein,JosephHSilverman.
ProtectingNTRUAgainstCho-senCiphertextandReactionAttacks[EB/OL].
http://www.
ntru.
com,2005-0s5-01.
[7]NickHowgrave-Graham,PhongQNguyen,etal.
TheImpactofDe-cryptionFailuresontheSecurityofNTRUEncryption[C].
SantaBar-bara:AdvancesinCryptology,ProceedingsoftheCRYPTO2003,LNCS2729,Springer-Verlag,2003.
226-246.
[8]余位驰,缪祥华,何大可.
NTRU译码错误研究[J].
铁道学报,2005,27(5):61-66.
作者简介:余位驰(1974-),男,四川荥经人,博士研究生,主要研究方向为信息安全技术、密码学等;何大可,男,博导.
(上接第122页)新的病毒就无法检测出来.
不同的检测手段拥有不同的检测效果和所需的系统资源及检测时间,如基于签名的病毒检测技术,它的检测效率很高,但是很难识别多态蠕虫病毒.
为了得到更精确的检测结果,需要综合利用不同的检测手段.
在网页病毒防御系统的设计中,采用了多层检测技术,即将网页病毒的检测过程分为以下几个阶段:①对网页可疑代码进行过滤,对于含有不能简单由过滤来滤除的网页病毒的网页,由自动下载子系统下载下来;②病毒检测子系统对下载的Web页面内容进行病毒的检测和分析;③通过免疫防护子系统对病毒报警子系统所提交的可疑网页进行安全检测.
3结束语网页病毒作为互联网高速发展下的一种新型病毒,必将对网络安全产生巨大的危害.
在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司、系统厂商、防病毒厂商及用户共同参与、构筑全方位的防范体系.
网页病毒和黑客技术的结合,使得对网页病毒的分析、检测和防范具有一定的难度,必须构建一个可以自动发现学习并且检测到未知网页病毒的防御系统.
除此之外,对网页病毒的网络传播性、网络流量特性数学模型的建立也是有待研究的课题.
参考文献:[1]oelScanbray,MikeShema.
WebApplicationSecuritySecrets&So-lutions[M].
北京:清华大学出版社,2003.
55-121.
[2]ScambraySMcClure.
Windows2000黑客大曝光[M].
杨洪涛.
北京:清华大学出版社,2002.
60,217-277.
[3]CliffCZou,DonTowsley,WeiboGong.
E-mailVirusPropagationModelingandAnalysis[EB/OL].
http://tennis.
ecs.
umass.
edu/~czou/research/emailvirus-techreport.
pdf,2003.
[4]WilliamRStanek.
Windows2000脚本编程[M].
北京:中国水利水电出版社,2001.
54-116.
[5]CliffCZou.
AdaptiveDefenseAgainstVariousNetworkAttacks[EB/OL].
http://tennis.
ecs.
umass.
edu/~czou/research/research/ada-ptiveDefense.
pdf,2005.
[6][美]WRichardStevens.
TCP/IP详解[M].
范建华,青光辉,张涛.
北京:机械工业出版社,2000.
115-130.
[7]HolznerS.
XHTML技术内幕[M].
钟鸣,王君,等.
北京:机械工业出版社,2001.
126-163.
[8]潘志强,岑进锋.
黑客攻防编程解析[M].
北京:机械工业出版社,2003.
[9]MatthewTodd,PhD.
WormsasAttackVectors:Theory,Threats,andDefenses[EB/OL].
http://www.
giac.
org/practical/GSEC/Matthew_Todd_GSEC.
pdf,2003-01.
[10]StuartESchechter,JaeyeonJung,ArthurWBerger.
FastDetectionofScanningWormInfections[EB/OL].
http://www.
eecs.
harvard.
edu/~stuart/papers/scanworm.
pdf,2004.
作者简介:魏建平(1973-),男,新疆阿克苏人,硕士研究生,主要研究方向为网络信息安全;魏强(1979-),男,江西南昌人,博士研究生,主要研究方向为网络信息安全;吴灏(1965-),男,江苏无锡人,教授,硕士生导师,主要研究方向为网络信息安全.
·231·计算机应用研究2006年