[发明专利]基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置

说明书

技术领域

本发明涉及一种网页恶意代码的检测方法与装置，确切地说，涉及一种基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置，属于一种综合沙箱技术、系统调用和蜜罐技术的web应用安全检测的技术领域。

背景技术

随着互联网技术的迅猛发展，web应用已经逐渐成为网络信息交互的中心。随之而来的相应问题是：与web应用相关的安全事件愈来愈多，安全问题日益突出。当前，网页木马已经成为木马传播的最常见形式之一，大量的形形色色的网页恶意代码充斥着计算机网络，以相当快的速度扩散和传播；并随着web应用的不断深入发展而越来越网络化，这对网络的正常使用造成了严重的影响，网络中隐藏的各种网页恶意代码已经成为网络信息安全的一个重要威胁。因此，如何识别网页恶意代码的检测技术已经成为业界非常关注的焦点问题。

网页恶意代码是攻击者在正常网页中插入一段恶意代码，当浏览器打开网页时，这段恶意代码就会随之执行，然后下载并运行恶意程序，进而威胁浏览者的PC主机安全；或在网页中设置一些欺骗图片，诱骗用户打开从而下载木马程序；设置一些欺诈链接，诱使用户访问攻击者事先布置好的恶意web服务器。

目前，网页恶意代码的检测方法主要有下述两种：

静态分析方法是在不运行网页代码情况下，利用分析引擎对网页代码的静态特征和功能模块进行分析；它是以网页代码为中心，只对网页代码自身进行判断，与代码的行为无关。静态分析是由代码内容推导出所有执行的特征，再与已经建立的恶意特征库进行匹配。由于在与事先定义好的恶意特征进行的比对是一种误用检测(Misuse Detection)的方式，因此需要建立庞大的数据库，并需要定时更新和维护数据库。这种方法还不能检测出未知威胁的恶意代码；对于加密的恶意脚本，往往也是束手无策。而且，静态分析可能会得到大量冗余信息，分析结果也容易被代码分析得到的冗余信息所迷惑，因而误报率比较高。尽管如此，静态方法还是目前最为成熟、可信的网页恶意代码检测技术，已被大多数防毒软件采纳并集成在各种软件中。

动态分析方法是通过在可控的运行环境中开启恶意网页，监控代码执行后的行为和状态的变化，再对访问过程中的各种数据进行分析。这种方法是根据网页运行过程中的行为来检测是否存在网页恶意代码，能主动检测出各种隐藏的恶意代码，并及时发现危险行为。虽然动态分析不能证明代码一定满足某个特定的属性，但是可以检测到网页代码运行时所表现出来的异常属性，还能提供各种与异常行为相关的信息。由于这种方法要在模拟的环境中实时运行网页恶意代码，因此对系统的安全性构成了较大的威胁，且检测耗费时间比较多。

蜜罐是网络信息安全研究的一个新领域，它是一种不同于防火墙、入侵检测系统的主动防御系统，是对现有安全技术的进一步完善和补充。蜜罐是一个特意设计的有缺陷的系统，为自身构造了一个虚拟环境，模拟操作系统或以真实的操作系统和应用程序在网络中故意暴露出各种漏洞和弱点，再采取主动方式引诱网络攻击者进入有着明显安全漏洞的环境，然后，对各种行为进行监控，并对入侵手段与入侵工具等进行记录。

传统的蜜罐提出都搭建于服务器端，这种蜜罐不能检测用户端的异常行为。而客户端蜜罐能够主动与恶意服务器进行交互，并实时获取其行为信息，从而达到区分正常服务器与恶意服务器的目的。客户端蜜罐又分为低交互和高交互两种类型。低交互客户端蜜罐使用一个模拟的客户端来和服务器进行交互，并没有使用真实的客户端软件，对于服务器的友好性的判别往往是通过简单的静态分析。高交互蜜罐是在真实的操作系统上使用客户端软件和服务器实现交互。从服务器返回的数据，客户端软件都会正常处理；如果包含攻击行为，攻击代码也会被执行，然后再分析攻击后的系统状态的变化，以判定恶意服务器。

系统调用是位于用户空间的应用程序与位于内核空间的操作系统内核程序之间的功能接口，其目的之一是让用户程序与内核程序相分离，使得内核程序和用户程序分别以特权级ring0和ring3来运行之，从而实现程序空间和数据堆栈空间的分离，起到保护内核的作用。目的之二是由内核程序为用户提供有关设备管理、文件系统和进程控制、通信以及存储管理等方面的功能，从而使用户不必了解系统程序的内部结构和有关硬件细节，起到减轻用户负担、保护系统和提高资源利用率的作用。