2012年网络安全年会2原理网页挂马攻击也称为“浏览即下载”（drive-bydownloadattack）指攻击者利用网站、客户端浏览器与web应用程序的漏洞(SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day等)，向目标页面或内嵌对象中植入恶意的HTML脚本代码，在用户访问网页的过程中将恶意程序(malwarebinaries)自动植入用户系统。主要特点取回模式（pull-style），不同于病毒蠕虫的推送模式（push-style）。网页挂马攻击ACASESTUDY互联网安全现状—挂马攻击的危害与泛滥性(Symantec)每年感染上百万的互联网主机，是僵尸网络bot的主要感染方式数量排名前五的恶意网站类型博客、个人网站、商务/经济、购物、教育基于高交互虚拟蜜罐系统利用虚拟系统对访问网页后的系统动态行为与状态进行监测无误检率互联网大规模网页扫描，检测时效有一定滞后性基于网页代码特征匹配将恶意脚本代码视为脚本病毒，通过已知特征码匹配进行判定恶意脚本变种灵活、采用混淆变形技术与加密技术，难以检测提出一种新型检测方法HTTP会话过程跟踪的网页挂马攻击检测方法8检测模型结构图实验数据集域名相关特征白名单站点IP地址分布域名词汇特征引用不同类别外部域名特征域名段数特征HTTP头部相关特征重定向链接层数不同类型文件的请求数量不同User-Agent信息域的数量不完整头部信息域的请求数量１、白名单正常网页所引用的外部对象大多由知名站点提供恶意程序分发站点一般都是由黑客直接管理并不对外提供正常的web服务白名单：频繁被引用的网页域名集（本文取引用频次>100）3、域名词汇特征正常网站的域名一般都是基于自然语言的，从而方便宣传与用户记忆恶意服务器的域名一般具有生存期短的特点，并使用一些偏离正常构词方法构造的域名4、引用不同类别外部域名特征各类网页所引用的外部域大部分都属于com与net域，并且一般情况下多引用同类型站点的内容，基本不会引用其他类型站点的内容。比如：教育类(edu)网页除了引用com与edu类站点(共占92％)内容外，基本不会引用其他类型站点的内容。5、域名段数特征正常网站一般使用多个子域名来区分不同的服务器并对外提供服务，如ad.doubleclick.net、g.doubleclick.net，因此其域名段数基本都在3段以上恶意站点一般直接使用注册的二级域名对外提供服务，如ccndk822.cn、ewrewr34.cn1、重定向链接层数正常网页与挂马网页HTTP会话的重定向链接层数（下图）2、不同类型文件的请求数量将在网页会话过程中到可疑外部域(白名单外)的13种常见类型文件的请求数量作为特征比如：约94.3%的正常网页没有引用可疑外部域的html文件，而约96%的挂马网页引用多于2个的html文件；3、不完整头部信息域的请求数量Accept-Language、Accept-Encoding与Referer三个头部信息域，将网页会话中缺少这三个信息域的请求数量作为特征WebClean:1.24%；WebMalware:55.3%4、不同User-Agent信息域的数量正常网页会话过程中的请求一般具有相同的User-Agent信息域恶意程序会使用不同于浏览器正常默认的请求头部域信息两个以上不同User-Agent头部域WebClean:1.1%；WebMalware:36.2%特征小结21C4.5决策树在模型构建和样本预测过程中都不依赖于样本的分布，该方法能够有效避免样本分布变化所带来的影响，具有良好的分类稳定性；C4.5决策树处理分类问题具有更高的效率。分类模型性能C4.5决策树分类模型在误检率与检测率之间取得了最佳的平衡。决策树方法根据信息增益来选择最优特征，在保证最低误检率的同时，取得了较高的检测率。NaïveBayes方法依赖训练集样本先验概率分布，然而实际获取的测试集样本分布往往与训练集不同，潜在的分类不稳定性大规模训练集会给SVM分类模型带来较大数量的支持向量，从而导致模型训练速度与样本分类的速度都较慢分类检测结果（cont’d）样本分布对分类模型性能影响分类模型的性能保持稳定模糊实例(与挂马网页特征相近)影响了模型的分类规则，使得检测率降低基于HTTP会话过程跟踪的网页挂马攻击检测方法有效检测挂马网页，较低的误检率可实时部署于客户端，代价小无需分析网页代码存在问题还需与同类系统进行深入比较分析，改进本方法性能针对模糊实例，需要进一步研究并发掘新的特征测试模型的实时检测性能并研究其在线学习算法