基于行为的恶意Web脚本分析与检测技术研究

恶意Web脚本在最近几年已经逐渐成为恶意代码的主流，并成为网络安全的头号威胁。恶意Web脚本的分析与检测是目前信息安全领域的研究热点，目前的Web脚本分析方法主要以静态分析方法为主，虽然能够检测出一些恶意Web脚本，但是无法抵抗复杂的脚本混淆技术，且主要关注脚本的操作而较少关注操作的数据。而目前一些动态Web脚本分析方法只能够分析出调用特定方法，盗取用户敏感信息这样一些比较单一的行为。为了解决上述问题，本项目提出研究基于脚本沙盒的恶意Web脚本行为分析技术，并基于该技术研究恶意Web脚本检测技术。该方案的基本思想是将Web脚本放到一个隔离的沙盒环境下运行，同时记录脚本运行的数据和行为。基于该环境，我们将分析常见的恶意Web脚本例如偷渡式下载，Web蠕虫，Web僵尸网络的行为，总结出恶意Web脚本的行为特征，最后基于这些特征设计恶意Web脚本检测算法。

随着计算机网络技术和Web 2.0技术的发展，浏览器逐渐成为人们日常生活中广泛使用的工具，浏览器的安全问题也逐渐受到研究学者的关注，因为它直接影响着浏览器用户的数据信息安全等，尤其是在近些年，网络脚本逐渐成为Internet广泛使用的程序语言，如浏览器插件/扩展程序、网页脚本程序等，而这些网络脚本可以在浏览器中运行，甚至可以获取与浏览器程序相同的访问权限，这样的特性同样引起了攻击者的兴趣。网络脚本程序的日益盛行，逐渐带来了新的安全问题，出现新的攻击手段，引起学术界、工业界的广泛关注。.本课题首先对Firefox浏览器的体系结构、基本运行原理进行了总结与分析，在充分理解Firefox 自身的运行，以及JavaScript脚本代码程序在Firefox中的运行原理的基础上，对目前Internet主流的脚本攻击手段进行介绍与分析，并介绍了当前已经提出的针对这些主流脚本程序的检测、防御机制。.此外，我们主要针对一类威胁浏览器安全的攻击：恶意的Firefox浏览器扩展――JavaScript扩展（简称JSE）攻击进行研究，以设计、实现一个安全的Firefox浏览器工具，保证浏览器用户敏感信息的安全。我们在分析、研究Firefox 的体系结构、基本运行原理的基础上，利用JSE在Firefox中的运行特点，将一套完整的访问控制系统部署于JSE在Firefox中的运行阶段，保证所有在Firefox中运行的JSE都通过我们设置的访问控制系统，才能正常地访问其所需要的资源，才能发挥其相应功能。我们的访问控制系统可以动态地添加细粒度的访问控制规则，以实时地保证JSE的正常、安全运行，保证用户信息的安全。.最后，我们基于JSE在Firefox浏览器中对资源的访问顺序序列，提出针对恶意JSE的检测、阻断系统，以实时地检测恶意JSE、及时地阻止恶意JSE的继续运行，保证用户的安全。在检测机制中，我们分别采取基于正则表达式、确定有限状态自动机（DFA）的方式对恶意JSE的行为进行快速、有效的检测，并在实验中对数百个JSE进行验证。