恶意网站分析捕获系统

上海交通大学　陆吉辉　姜望成　邵嘉炜

指导教师: 王轶骏

摘 要

近年来, 因特网得到了飞速的发展, 给人们带来便利的同时, 以网马为主要攻击手段的恶意网站对信息安全造成极大的威胁, 而现有的恶意网站分析方法众多, 但各自都有明显的缺陷, 无法满足当前信息安全的需求。

本项目组以IE浏览器为研究对象,结合其关键机制的研究,提出基于IE的中交互式恶意网站分析技术,由此构建恶意网站,分析捕获系统。理论和实践都证明,该技术能显著增强恶意网站的检测能力。

关键词: 网络安全; 恶意网站; IE浏览器; 中交互式分析

Abstract

In recent years, the applications based on Internet are developing fast, bringing great convenience to people all over the world. On the other hand, techniques of network attack, represented by drive-by-download attack, have caused great threat to the information security.

There are mainly two ways to analyze and detect drive-by-downloads: static analysis principle and dynamic analysis principle, but both of them have clear defects unable to meet the demand of the information security.

On the basis of the deep research on the Internet Explorer(IE) Web Brower, a medium-level high-interaction IE-based drive-by-download analysis technique is developed to build a malicious site analysis and collection system. Both theory and practice have proved that the technique can remarkably improve the ability of drive-bydownload detection.

Key words: network security;malicious websites;Internet Explorer;medium-level dynamic analysis

1 概述

1.1 项目背景

恶意网站已经成为互联网上攻击客户端的主要手段。

网马(drive-by-downloads)是恶意网站的通用攻击手段。 其本质是包含攻击代码的网站, 用户一旦访问了该网站, 攻击代码就会对浏览器、 浏览器插件等存在漏洞的软件进行攻击, 最终在用户不知情的情况下, 下载执行恶意文件, 从而窃取隐私信息, 并使受害者成为僵尸机。

恶意网站通常利用内嵌链接植入正当网站, 如iframe、 script等包含src属性的标签。 当用户访问被植入恶意代码的正当网站时, 就会在不知情的情况下加载恶意网站, 遭受攻击。

本系统主要目的就是分析恶意网站并捕获其所要下载执行的恶意文件。

1.2 现有技术

分析恶意网站的技术非常多, 效果参差不齐。

传统的杀毒软件使用静态特征对攻击代码进行模式匹配。 然而恶意网站通常通过复杂的混淆(ob-fuscation)技术隐藏真正的攻击代码, 使静态特征失效。

另一种分析方法基于低交互式客户端蜜罐, 按模拟程度分为静态模拟和动态模拟。 静态模拟使用正则表达式匹配iframe、 script标签构建网站静态树形图, 并对已知的混淆手法进行反混淆, 最后使用静态特征进行模式匹配。 但静态模拟对未知的混淆手法和DOM动态生成标签无能为力。 动态模拟模拟整个浏览器, 包括HTML解析器、 JavaScript解析器、 DOM模拟和插件模拟, 构建网站动态树形图, 最后使用静态特征和行为特征进行模式匹配, 对未知的混淆手法和DOM动态生成标签有一定对抗效果, 这取决于模拟程度。 但复杂的DOM操作和隐蔽(cloaking)手法容易使动态模拟失败。

一种分析方法基于高交互式客户端蜜罐。 通过在虚拟机中的无补丁浏览器访问恶意网站, 并监控系统环境的变化, 如文件创建、 进程创建等。 如果非正常的变化发生, 则认为受到攻击并进行记录。 但高交互式客户端蜜罐也有局限性, 因为漏洞触发的条件往往比较严格, 如果浏览器或插件版本不符合要求, 就会产生漏报, 且触发漏洞会使虚拟机环境受到污染和破坏, 虚拟机必须频繁恢复快照, 资源开销较大。

1.3 功能与创新

Internet Explorer是受攻击最频繁的浏览器, 我们对Internet Explorer的关键组件进行了逆向工程,对其中的各种机制进行了深入研究, 并结合低交互式分析技术和高交互式分析技术的优点, 提出基于Internet Explorer的中交互式恶意网站分析捕获系统。

本系统特点在于:

1) 我们对Internet Explorer中所有与反混淆有关的函数进行挂钩, 且真实的浏览器不存在模拟程度的问题。 相比于低交互式分析技术, 本系统能对抗所有的混淆手法、 DOM操作和隐蔽手法。

2) 我们使用全补丁的Internet Explorer环境, 并对与版本有关的函数进行挂钩, 伪造成为低版本,而并不真正触发漏洞, 我们还结合沙盘技术, 将分析系统置于沙盘环境, 使得真实环境不受污染和破坏。 相比于高交互式分析技术, 本系统的资源开销较小。

3) 我们对Internet Explorer中所有与恶意网站有关的函数进行挂钩,记录数据并提取特征,称为动态特征,并通过对动态特征和对应数据的分析,判断是否发现恶意网站并捕获其所要下载执行的恶意文件。相比于低交互式分析技术和高交互式分析技术,本系统所用动态特征更为通用且不依赖于漏洞的触发,效果更好。

2 系统原理

我们将恶意网站的攻击过程分为四个阶段, 根据每个阶段的不同特点记录数据并提取特征。

2.1 隐藏和重定向

通常, 在恶意网站攻击受害者前, 会产生一些动作。

2.1.1 隐蔽

首先,用户的浏览器会被攻击。攻击者根据的数值,如浏览器厂商、版本以及安装的插件,等等,会使用截然不同的脚本攻击受害者。这些脚本可能对应不同的漏洞,或者因浏览器不符合条件而不包含攻击代码。

其次, 攻击者通常会在一段时间内记录用户信息。 不少恶意工具集会在服务端保存受害者的IP,当受害者被攻击后, 其后续访问会重定向到正当的网站, 而不会再攻击。 另一种策略是在客户端保存Cookie, 服务端或客户端脚本根据Cookie判断是否攻击, 这也能有效地对抗模拟的检测环境, 因为Cookie不正确就不会攻击。

对于前者, 我们对判断浏览器环境的操作进行挂钩, 并伪造易受攻击的数值来满足攻击条件; 对于后者, 我们使用真实的Internet Explorer环境, 并在每次分析后清理防止Cookie污染, 而已分析的网站在一段时间内不会重复分析防止IP被屏蔽。

2.1.2 重定向

一些恶意网站会产生一长串的重定向操作, 这些重定向操作会使是检测变得困难。

重定向分为HTTP重定向和脚本重定向。 前者使用HTTP 301、 HTTP 302, 容易检测, 后者直接操作document.location对象, 不容易检测。

我们使用真实的Internet Explorer环境, HTTP重定向由浏览器自身处理。 此外, 我们对脚本重定向操作进行挂钩, 并记录Cookie等值以便进一步跟踪重定向后的网站。

2.1.3 特征提取

我们提取重定向次数作为特征。 重定向次数过多的网站往往是恶意的。

2.2 反混淆

大部分恶意脚本都经过混淆以规避检测。 事实上, 经过多层混淆以隐藏攻击代码的脚本也并不罕见。 我们发现恶意脚本使用多种多样的混淆手法, 从简单的标准编码到全方面的加密。

然而, 所有手法都依赖典型的脚本操作将经过混淆的代码还原成明文形式, 并通常借助动态代码生成和执行操作以执行真正的攻击代码, 这个过程称为反混淆。

当代码执行时, 我们对反混淆阶段使用的脚本操作进行挂钩, 记录参数并提取特征。

2.2.1 DOM动态生成

JavaScript、 VBScript通过调用document.write函数将HTML代码动态扩展到DOM中, 它接受多个字符串, 即为所要扩展的HTML代码。 这些动态生成的HTML代码会被DOM解析, 其中包含的JavaS-cript、 VBScript代码也会被执行。

2.2.2 JavaScript动态执行

JavaScript通过调用eval函数动态执行JavaScript表达式或语句, 它接受一个字符串参数, 即为所要执行的JavaScript表达式或语句。

2.2.3 VBScript动态执行

VBScript通过调用Eval函数动态执行VBScript表达式, 通过Execute或Execute Global语句动态执行VBScript语句, 它们都接受一个字符串参数, 即为所要执行的VBScript表达式或语句。

2.2.4 Internet Explorer脚本动态执行

Internet Explorer通过调用window.exec Script函数动态执行脚本代码, 它接受两个字符串参数, 分别为所要执行的脚本代码以及脚本的语言(JavaScript或VBScript)。

2.2.5 特征提取

我们提取两种特征, 分别为动态生成和执行操作的次数以及对应代码的长度。 恶意网站通常会动态生成和执行复杂的代码, 它们往往有几KB长。

2.3 准备载荷(Payload Preparation)

大部分漏洞都是对程序的内存破坏进行攻击。 这种情况下, 攻击分为两个阶段。 首先攻击者将所要执行的shellcode注入浏览器进程。 这些往往是通过正常的脚本操作完成的, 如在JavaScript中使用一个包含shellcode的字符串。 然后攻击者试图劫持浏览器的执行流并将其指向shellcode。 这一阶段会触发浏览器或浏览器的一个组件中存在的漏洞, 比如通过栈溢出修改, 返回地址。

问题在于攻击者如何才能猜测所要跳转到的正确地址。 如果浏览器进程被迫访问不含shellcode的内存地址, 很可能发生崩溃, 导致攻击失败。 换一种说法, 可靠的漏洞利用需要攻击者精确地操控浏览器内存。 操控浏览器内存的手法有很多, 大部分手法都是基于精心构造一定量JavaScript字符串的思想,这会在堆中产生内存分配和释放, 这样就可以预测关键数据尤其是shellcode映射到内存中的地址。

逻辑漏洞则不需要shellcode作为载荷, 而一般直接将恶意程序的URL作为载荷, 但逻辑漏洞模式不固定, 不存在明显特征。

当代码执行时, 我们对可疑的字符串操作进行挂钩, 记录参数并提取特征。

2.3.1 堆喷射(Heap Spray)

恶意脚本往往构造一个包含nop指令和shellcode的字符串, 并对一个数组的每一项都用这个字符串进行赋值, 这会导致浏览器进程的堆迅速增长。 比如字符串长度是1MB, 数组项数是200, 就会产生200MB的内存增长, 由于堆是从低地址到高地址顺序增长, 那么此时类似0x0c0c0c0c的内存即为nop指令和shellcode。 堆喷射通常就是将shellcode定位到类似0x0c0c0c0c的特定内存地址。 此外, 堆风水(Heap Feng Shui) 技术对 “内存释放后使用” 等漏洞的触发起到至关重要的作用。

2.3.2 shellcode

shellcode通常需要引用(self-reference), 用于自解、 自修改和定位数据等。 因此shellcode必须使用Get PC(Get Program Counter)技术定位自身在进程地址空间中的位置。 常见的GetPC技术分为CALL Get-PC、 FSTENV GetPC和SEH GetPC, 这些技术用到的特定的机器指令数值在正常字符串中出现概率极小, 检测这些机器指令数值可以较准确地判断字符串是不是疑似shellcode。

2.3.3 特征提取

我们提取两种特征, 分别为内存分配的大小和疑似shellcode的字符串。 内存分配达到几百MB的网站往往是恶意的, 而对于疑似shellcode的字符串我们使用x86模拟器进一步分析验证。

2.4 触发漏洞(Exploitation)

攻击的最后一步是真正触发漏洞。

当代码执行时, 我们对浏览器对象和插件对象的可疑方法进行挂钩, 记录参数并提取特征。

2.4.1 漏洞触发点

由于大量漏洞都是针对ActiveX插件或其他浏览器插件,要触发漏洞就必须预先加载这些插件。准备载荷完成后,就会调用特定浏览器对象或插件对象的一组方法,而这些方法存在漏洞,导致载荷被执行,这就是所谓的漏洞触发点。而同一漏洞的漏洞触发点往往是固定的,对漏洞触发点进行匹配就可以判断漏洞类型。

2.4.2 下载执行

无论是逻辑漏洞还是shellcode, 往往都因为空间大小等各种限制导致功能受限, 所以一般就是从服务端下载恶意文件到受害者的客户端并执行, 由这个恶意文件完成攻击者所要到达的主要目的。 因此,shellcode的载荷实际上就是这个恶意文件, 分析得到这个载荷是我们的最终目的。

2.4.3 特征提取

我们提取两种特征, 分别为加载的插件和漏洞触发点。 很多恶意网站都会加载大量的无关插件并触发相应漏洞以提高攻击的成功率, 而漏洞触发点所用的方法正常网站往往不会使用。

3 系统架构与功能实现

3.1 系统架构

本系统主要分为URL采集、 分析系统、 数据库和Web界面四个部分(图1)。

图1 系统总体架构图

URL采集模块负责采集待检测的URL, 包括“自动搜集”子模块与“用户提交”子模块两部分; 对于来自“用户提交”子模块的URL, 通过有效性检测过滤非法的URL, 将合法地址存储到数据库中。

分析系统是系统的核心部分, 由IE引擎和特征分析引擎组成; 其任务是从数据库中读取待检测的URL, 利用IE引擎提取数据和特征, 特征分析引擎继续分析, 得出分析结果, 并写入数据库中。

数据库模块存储了由“自动搜集”子模块采集的恶意网址、 恶意软件, 由“用户提交”子模块获得的待检测URL, 以及由分析系统产生的分析结果和分析报告。

Web界面提供了恶意网址信息的展示,为“用户提交” 子模块提供了界面,以及显示分析报告的功能。

3.2 URL采集模块

3.2.1 自动搜集子模块

自动搜集子模块定时从网络来源更新恶意网址列表, 并下载恶意软件, 提交由合作方进行分析, 将结果存储至数据库中。

3.2.2 用户提交子模块

用户提交子模块需要Web界面支持。 用户提交的URL需通过有效性检测才能被存储至数据库中。

有效性检测的叙述如下:

1) 利用urlparse分解用户提交的URL, 若结果中的scheme为空, 使用默认scheme, 即http。

2) 使用socket.gethostbyname来判断1)中分解结果中的netloc是否有效, 如果无效返回空字符串(即表示该URL没有通过有效性检测)。

3) 使用urllib.quote来过滤URL中的非法字符, 若不含非法字符, 则返回URL(表示该URL通过有效性检测), 否则返回空字符串。

3.3 分析系统

图2为分析系统的主要流程。

图2 分析系统主要流程

3.3.1 IE引擎

我们采用沙盘技术, 使用全补丁的Internet Explorer环境来访问待分析的URL, 并对相关函数进行挂钩。 图3所示的IE引擎的分析环境与流程。

图3 IE引擎分析环境与流程

IE引擎运行在虚拟机中的沙盘里。虚拟机我们采用的是VirtualBox,而沙盘我们采用的是Sandboxie。

该引擎的目的是提取数据和特征, 为进一步分析做准备; 分析结束后, 我们将结果以JSON的格式写入文件, 拷贝到沙盘外面, 并对沙盘进行清空, 防止沙盘中保存的内容对分析下一条URL造成影响。我们将生成的文件转移出虚拟机, 在主机中进行下一步的分析。

结果文件具有如下格式:

CONTENT:= {“Hook”:HOOK,“Tree”:TREE}

HOOK:={HCONTENT}|{}

HCONTENT:=HVT| HVT,HCONTENT

HVT:=“HOOKNAME”:VTPAIR

HOOKNAME:=Exec Script|JsEval|JsUnescape|Redirect|VbsEval|VbsExecute|VbsExecuteGlobal|

VbsUnescape|Write

VTPAIR:= {VTCONTENT} | {}

VTCONTENT:=VT| VT,VTCONTENT

VT:=“VALUE”:TIMES

TREE:={NODE}

NODE:=“URL”:[SOURCE,SUBTREES]

SUBTREES:={NODES}|{}

NODES:=NODE|NODE,NODES

图4 特征分析引擎主要流程

其中, CONTENT表示文件的内容, VALUE表示网页脚本执行的源码(由IE引擎挂钩得到), TIMES表示相应脚本执行的次数, URL表示DOM Tree的一个节点URL, 而SOURCE则是相应URL的源码。

3.3.2 特征分析引擎

特征分析的主要流程如图4所示。

我们已经利用IE引擎提取出数据和特征, 我们需对数据文件进行解析处理, 再作进一步分析。

根据3.3.1中对数据文件的描述, 特征分析引擎解析数据, 并提取出VALUE和SOURCE, 对其做MD5散列, 然后存储至数据库; 如果数据库中已存在相应MD5值并且有分析结果的, 特征分析引擎将跳过该部分数据的分析与处理, 否则, 在完成特征分析后, 将更新数据库中相应MD5所对应的记录。

3.4 Web界面

3.4.1 恶意网址展示

我们在Web页面中展示恶意网址及其相关信息(图5)。 在页面中的表格的最后两列, 分别是我们的合作方virustotal和金山fireeye对相应URL的分析结果; 点击分析结果便可转入合作方的网站, 查看详细的分析报告。

图5 恶意网址展示

(a) 恶意网址展示页面; (b)virustotal分析报告

图5 恶意网址展示(续)

(c) 金山fireeye分析报告

表格中其他字段的含义如下:

DATE: 检测日期

URL: 恶意站点的URL地址

DOMAIN: 恶意站点URL的域名

IP: 恶意站点URL对应的IP地址名

AS: 恶意站点所属的网络自治系统(Autonomous System)编号

ASNAME: 恶意站点所属的网络自治系统名称

CC: 恶意站点IP地址所在的国家或地区(以国旗或区旗表示)

3.4.2 用户提交界面

我们提供一个简洁的用户提交界面(图6), 方便用户提交URL进行分析。

图6 用户提交界面

3.4.3 分析报告界面

分析报告界面如图7所示。 分析报告的内容包括概览(overview), 反混淆(deobfuscation)结果, DOM树以及shellcode和payload分析结果。

3.5 数据库

3.5.1 逻辑划分

表1为本系统数据库的逻辑划分。

图7 分析报告界面

表1 数据库逻辑划分

3.5.2 mdl_ url表

mdl_ url表存放自动搜集子模块获取的URL及相关信息, 该表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“asn”integer NOT NULL

“asname”text NOT NULL

“cc”varchar(2) NOT NULL

“date”date NOT NULL

“domain”text NOT NULL

“ip”inet NOT NULL

“sub”integer NOT NULL

“url”text NOT NULL UNIQUE

详细说明如下:

asn:　恶意站点所属的网络自治系统(Autonomous System) 编号

asname:　恶意站点所属的网络自治系统名称

cc:　恶意站点IP地址所在的国家或地区代号

date:　检测日期

domain:　恶意站点URL的域名

ip:　恶意站点URL对应的IP地址名

sub:　URL来源编号

url:　恶意站点的URL地址

3.5.3 mdl_ malware表

mdl_ malware表存放自动搜集子模块搜集的恶意软件和合作方的分析报告, 该表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“md5”varchar(32) NOT NULL UNIQUE

“sbreport”text NOT NULL

“sbstatus”integer NOT NULL

“vtreport”text NOT NULL

“vtstatus”integer NOT NULL

详细说明如下:

md5:　恶意软件的MD5哈希值

sbreport:　金山fireeye的分析报告

sbstatus:　金山fireeye的分析状态

vtreport:　virustotal的分析报告

vtstatus:　virustotal的分析状态

3.5.4 mdl_ submit表

mdl_ submit表存放管理员手动提交的需要交予自动搜集子模块处理的URL, 该表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“url”text NOT NULL UNIQUE

“sub”integer NOT NULL

“cookie”text

详细说明如下:

url:　恶意站点的URL地址

sub:　URL来源编号

cookie:　下载该URL所指的恶意软件所需的cookie

3.5.5 mdl_ object表

mdl_ object表为自动搜集程序所专用, 用于保存搜集数据所需要的凭据, 该表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“key”text NOT NULL UNIQUE

“value”text NOT NULL

详细说明如下:

key:　object的键

value:　object的值

3.5.6 usrsub_ usrsub表

usrsub_ usrsub表存放用户提交的URL和分析引擎对该URL的分析状态, 该表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“url”text NOT NULL UNIQUE

“status”integer NOT NULL

“md5”text NOT NULL UNIQUE

详细说明如下:

url:　用户提交的URL

status:　该URL的分析状态

md5:　该URL的MD5哈希值

3.5.7 usrsub_ pending表

usrsub_ pending表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“url_id”integer NOT NULL UNIQUE REFERENCES“usrsub_usrsub”(“id”)DEFERRABLE INITIAL-LY DEFERRED

该表存放分析引擎的分析队列。

3.5.8 usrsub_ source表

usrsub_ source表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“md5”text NOT NULL UNIQUE

“s”text NOT NULL

“analysis”text NOT NULL

详细说明如下:

md5:　s的MD5哈希值

s:　从IE引擎的分析结果中提取的VALUE和SOURCE项(参见3.3.1)

analysis:　JSON格式的分析结果

3.5.9 usrsub_ report表

usrsub_ report表的列定义如下:

“id”serial NOT NULL PRIMARY KEY

“url_id”integer NOT NULL REFERENCES“usrsub_usrsub” (“id”) DEFERRABLE INITIALLY DEF-ERRED

“date”date NOT NULL

“content”text NOT NULL

“result”text NOT NULL

详细说明如下:

date:　分析报告产生的日期

content:　经过重构的报告

result:　JSON格式的分析结果

4 系统测试与检测结果

4.1 测试和运行环境

Internet Explorer引擎使用C++语言开发, 依赖于Internet Explorer, 这一模块运行于Windows平台。

动态特征分析引擎使用Python语言开发, 依赖于pylibemu。 pylibemu使用Cython语言开发, 依赖于libemu, libemu使用C语言开发, 用于分析shellcode, 我们对pylibemu和libemu进行了改进, 这一模块具有平台移植性, 目前运行于Linux平台。

Web和数据库程序基于Django框架开发, 使用Python语言实现, 数据库使用PostgreSQL, 由Djan-go框架管理。

本系统目前运行于Linux平台, 服务器配置如下:

·操作系统　CentOS6.3

·内核　Linux 2.6.32-279.2.1.e16

·架构　x86_64

·虚拟机　Virtual Box 4.1.18

·虚拟系统　Windows XP SP3

Internet Explorer 8

·Web框架　Django 1.3.1

·数据库　PostgreSQL 8.4.12

4.2 检测效果

4.2.1 信息收集

部署在上海交大网络中心的恶意站点分析捕获系统从2012年7月初开始运行, 截至2012年8月4日, 总监测时间约为30天。

4.2.2 国家和地区分析

在约30天的检测时间内, 本系统共检测到65499个恶意URL, 分属于12689个域名和11954个IP地址, 来自98个不同国家和地区。 表2列出了恶意域名最多的前20个国家和地区, 图8显示了国家和地区分布图。

表2 恶意域名最多的前20个国家和地区分布

图8 恶意域名国家和地区分布图

4.2.3 采集效率

过去两周每天新增的恶意站点如表3所示, 平均每天能采集到1616个恶意URL, 增长趋势如图9所示。

表3 按日新增恶意URL统计

图9 按日新增恶意URL统计折线图

4.2.4 域名统计

根据本系统的监测结果, 恶意网站使用最多的前20个顶级域名如表4所示, 其中排在前10的域名为com, org, net, es, ru, ar, info, in, kr, cn。

表4 顶级域名统计

4.2.5 对比测试

我们选取国内外两个著名的恶意网站分析系统与本系统做对比测试, 并选取时下国内流行的恶意网站作为样本。

1) CVE-2012-1875利用样本, 如表5所示。

表5 对比检测结果一

检测结果:

检测出静态特征CVE-2012-1875, 检测出动态特征shellcode, 其对应的载荷为http:∥4w5.ku3. in:6853/sp/on.txt。 如图10所示。

图10 检测结果页面一

2) CVE-2011-0611利用样本, 如表6所示。

表6 对比检测结果二

检测结果:

检测出动态特征shellcode, 其对应的载荷为http:∥4w5.ku3.in:6853/sp/on.exe。 如图11所示。

图11 检测结果页面二

3) CVE-2012-0003利用样本, 如表7所示。

表7 对比检测结果三

检测结果类似检测结果页面二, 检测出动态特征shellcode, 其对应的载荷为http:∥4w5.ku3.in:6853/sp/on.exe。

4) Flash漏洞利用样本, 如表8所示。

表8 对比检测结果三

检测结果类似检测结果页面二, 检测出动态特征shellcode, 其对应的载荷为http:∥4w5.ku3.in:6853/sp/on.exe。

可见, 对于时下国内流行的恶意网站, 本系统的效果明显优于其他两个系统。

4.2.6 复杂样本测试

我们选取所收集的复杂样本对本系统进行评估, 这些样本都是用复杂的混淆等技术对抗分析系统。

1) Blackhole Exploit Kit

通过

2) Eleonore Exploit Kit

通过

3) Neo Exploit Kit

通过

4) Seo Exploit Kit

通过

5) Phoenix Exploit Kit

通过

6) JSXX

通过

7) Crime Exploit Kit

通过

8) Best Exploit Kit

通过

可见, 本系统对于复杂样本的对抗效果良好。

4.2.7 误报测试

我们选取Alexa排名百万的网站作为样本进行误报测试, 误报率为0%。

附 录

A.1 程序文件清单

程序文件清单如表A.1所示。

表A.1 程序文件清单

续表

专家点评

作品“恶意网站分析捕获系统”针对恶意网站偷渡式下载(俗称“网马”)攻击的机理和特征开展了详细的分析, 结合低交互式分析和高交互式分析两种技术的优点, 提出了一种中等程度交互的分析技术,完整地设计实现了一个监测分析系统, 并给出了较全面的系统测试结果及其分析比较。

该作品有以下几个显著的特点:

(1) 选题紧密聚焦于网络安全领域中的热点问题—恶意网站的检测, 其工作有重要的实际应用价值。

(2) 对技术原理的学习和分析研究透彻, 技术路线清晰, 有较高的技术含量和水平。

(3) 提出的中交互式分析技术有较好的创新性, 系统对恶意网站特征检测的能力和实用性方面都有明显的优点, 效果好于已有同类系统。

(4) 系统架构和功能设计简洁明了。 提供的材料和系统演示表明项目组完成了预期的设计目标,系统达到了预期的效果。

综上所述, 该作品是个优秀的大学生科技作品, 具有推广应用的潜质。