互聯(lián)網(wǎng)的不斷發(fā)展,其中的安全問題也隨著顯現(xiàn)。Drive-by download攻擊通過用戶在訪問含有針對其瀏覽器漏洞的利用代碼的網(wǎng)頁,分發(fā)惡意軟件的下載并執(zhí)行。自出現(xiàn)以來,Drive-bydownload攻擊不斷發(fā)展并且成為了惡意軟件分發(fā)的主要途徑。本文對國內外針對該攻擊的檢測技術進行了深入的研究,提出了基于AdaBoost-SVM算法的攻擊檢測方法,并設計實現(xiàn)了檢測系統(tǒng)。本文的主要工作和創(chuàng)新點如下:通過對HTTP信息的統(tǒng)計,提出5個能夠區(qū)分正常下載行為和Drive-by download行為的特征,能夠克服已有研究對規(guī)避技術、重定向方式檢測的不足。本文提出的5個新特征如下:下載經(jīng)過站點數(shù)量、下載惡意文件數(shù)量、HTTP響應包含X-Powered-By字段次數(shù)、瀏覽器隱身次數(shù)、javascript混淆調用函數(shù)次數(shù)。基于重定向關系,通過HTTP請求中的referer字段、HTTP響應中的Location字段、響應實體中URL,提出獲取可執(zhí)行文件分發(fā)路徑的方法。針對現(xiàn)有檢測模型的缺陷,本文采用基于AdaBoost-SVM算法的Drive-by download檢測方法。使用AdaBoost算...

【文章頁數(shù)】：77 頁

【學位級別】：碩士

【部分圖文】：

圖２．１偷渡式下載過程??目前，攻擊者通常采用代碼混淆和重定向這兩種方式對用戶電腦進行攻擊

北京郵電大學工學碩士學位論文??用戶訪問受損站點。??受損站點服務器使用例如ｉｆｍｍｅ嵌套的方式將用戶重定向到跳板站載滲透代碼。以Ｊａｖａｓｃｒｉｐｔ為主的攻擊代碼將對用戶瀏覽器存在的漏滲透。??一次從受損站點到跳板站點的重定向。??攻擊代碼成功滲透漏洞后，將使得用戶電腦向惡意軟....

圖２．４采集數(shù)據(jù)包步驟??

圖２．４采集數(shù)據(jù)包步驟??字符串指針能夠作為ｐｃａｐ＿ｏｐｅｎ＿ｌｉｖｅ（）或ｐ特別的，如果當前設備可用網(wǎng)卡不止一塊，組成。??ｕｐｄｅｖ（）函數(shù)打開網(wǎng)絡設備，該函數(shù)由五個。參數(shù)ｓｎａｐｌｅｎ限制最大能夠采集到的數(shù)種模式。參數(shù)ｔｏ＿ｍＳ表示經(jīng)過多長時間超空指針，來指示錯誤信息。ｐ....

圖２．５?ｓｋｉ?ｅａｒｎ流＜?程圖??估計器（Ｅｓｔｉｍａｔｏｒ）其實就是模型，它用于對數(shù)據(jù)的預測或回歸，基本上估計器??都會有以下幾個方法：ｆｉｔ（ｘ，ｙ）：傳入數(shù)據(jù)以及標簽即可訓練模型，訓練的時間和??

圖２．５?ｓｋｉ?ｅａｒｎ流＜?程圖??估計器（Ｅｓｔｉｍａｔｏｒ）其實就是模型，它用于對數(shù)據(jù)的預測或回歸，基本上估計器??都會有以下幾個方法：ｆｉｔ（ｘ，ｙ）：傳入數(shù)據(jù)以及標簽即可訓練模型，訓練的時間和??參數(shù)設置，數(shù)據(jù)集大小以及數(shù)據(jù)本身的特點有關。ｓｃ〇ｒｅ（ｘ，ｙ）用于對模....

圖３．１偷渡式下載在站點數(shù)量上的分布圖??對收集到的３０２個正常下載數(shù)據(jù)集的分析后發(fā)現(xiàn)，單次下載經(jīng)過的站點數(shù)目??

站點數(shù)目小于３的次數(shù)為２０４個，整個數(shù)據(jù)集中占比達到６７．５％。通過對正常下??載行為的分析，發(fā)現(xiàn)正常下載行為的站點數(shù)目通常較小。偷渡式下載行為以及正??常下載行為所經(jīng)過的站點數(shù)量對比圖如圖３．２所示??２５０??２００?Ｖ??＼??１５０?＼??１００?＼??５０??＾?—??....

本文編號：3912776