張尚韜

（福建信息職業(yè)技術(shù)學(xué)院物聯(lián)網(wǎng)與人工智能學(xué)院，福建福州 350003）

0 引言

互聯(lián)網(wǎng)搜索、網(wǎng)絡(luò)下載、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)游產(chǎn)業(yè)等互聯(lián)網(wǎng)應(yīng)用形式多樣化，使得瀏覽網(wǎng)頁(yè)已經(jīng)滲透到社會(huì)的各個(gè)角落.由于系統(tǒng)及應(yīng)用軟件、瀏覽器插件及網(wǎng)站等的漏洞層出不窮，使得網(wǎng)站掛馬活動(dòng)越來(lái)越猖獗［1-5］.網(wǎng)頁(yè)木馬不僅威脅到個(gè)人信息的安全，甚至可能影響國(guó)計(jì)民生和國(guó)家安全，如何保證網(wǎng)頁(yè)安全性已經(jīng)成了安全領(lǐng)域的研究焦點(diǎn).因此，研究網(wǎng)頁(yè)木馬的檢測(cè)技術(shù)具有顯著的現(xiàn)實(shí)意義.

網(wǎng)頁(yè)木馬是利用瀏覽器或?yàn)g覽器插件的漏洞，向用戶(hù)機(jī)器植入木馬的惡意網(wǎng)頁(yè)腳本［6］［7］.傳統(tǒng)的網(wǎng)頁(yè)木馬檢測(cè)方法是特征匹配，這種方法不能檢測(cè)特征碼未知的網(wǎng)頁(yè)木馬.本文的主要工作是在研究網(wǎng)頁(yè)木馬行為特征、木馬監(jiān)控技術(shù)的基礎(chǔ)上，將樸素貝葉斯分類(lèi)算法應(yīng)用于網(wǎng)頁(yè)木馬的檢測(cè)；同時(shí)分析了網(wǎng)頁(yè)木馬的代碼特征，提出了將鏈接分析作為基于行為分析的網(wǎng)頁(yè)木馬檢測(cè)的一個(gè)補(bǔ)充；最后給出了一種基于樸素貝葉斯分類(lèi)算法的網(wǎng)頁(yè)木馬檢測(cè)模型，完成了檢測(cè)方案的設(shè)計(jì)與實(shí)現(xiàn).

1 樸素貝葉斯算法判定網(wǎng)頁(yè)木馬原理

1.1 網(wǎng)頁(yè)木馬的行為特征

在查閱網(wǎng)絡(luò)上關(guān)于網(wǎng)頁(yè)木馬的技術(shù)細(xì)節(jié)的描述，并對(duì)網(wǎng)頁(yè)木馬的相關(guān)技術(shù)進(jìn)行分析的基礎(chǔ)上，本文歸納出網(wǎng)頁(yè)木馬的行為特征如表1.

1.2 貝葉斯算法應(yīng)用于網(wǎng)頁(yè)木馬判定原理

樸素貝葉斯分類(lèi)算法［8-11］假定一個(gè)屬性值對(duì)給定類(lèi)的影響?yīng)毩⒂谄渌麑傩缘闹?這一假設(shè)稱(chēng)為條件獨(dú)立，這種假設(shè)降低了計(jì)算的復(fù)雜度，且具有較高的精確度.

貝葉斯分類(lèi)算法的原理是通過(guò)某對(duì)象的先驗(yàn)概率，利用貝葉斯公式計(jì)算出其后驗(yàn)概率，即該對(duì)象屬于某一類(lèi)的概率，選擇具有最大后驗(yàn)概率的類(lèi)作為該對(duì)象所屬的類(lèi).樸素貝葉斯分類(lèi)器的工作過(guò)程為：

若樣本S有n個(gè)特征(A1,A2,...,An)，它可看作是n維空間的一個(gè)點(diǎn)(X=X1,...,Xn).其中，X1,X2,...,Xn分別為樣本特征A1,A2,...,An的取值(n∈N)，樣本S有m個(gè)類(lèi)別，記為C={C1,C2,...,Ci,...,Cm}(i,m∈N,1 ≤i≤m)。

若給定類(lèi)別未知數(shù)據(jù)樣本X屬于類(lèi)別Ci，那么分類(lèi)問(wèn)題就是決定P(Ci|X)，即在獲得數(shù)據(jù)樣本X時(shí)，確定X的最佳分類(lèi).所謂最佳分類(lèi)，即給定的樣本S以及其類(lèi)別C中不同假設(shè)的先驗(yàn)概率的情況下最可能的分類(lèi).貝葉斯理論給出了計(jì)算這種可能的方法［12-13］.

貝葉斯定理基于假設(shè)的先驗(yàn)概率，給定假設(shè)下觀(guān)察到的不同數(shù)據(jù)的概率以及觀(guān)察到的數(shù)據(jù)本身，提供了一種計(jì)算假設(shè)概率的方法，可表示為

P(Ci)表示沒(méi)有訓(xùn)練數(shù)據(jù)前，Ci擁有的初始概率，P(Ci)稱(chēng)為Ci的先驗(yàn)概率，反映了所擁有的關(guān)于Ci是正確分類(lèi)機(jī)會(huì)的背景知識(shí)，它應(yīng)該是獨(dú)立于樣本的.某些情況下，可以簡(jiǎn)單地將每一候選類(lèi)別賦予相同的先驗(yàn)概率，通常一般可以表示成訓(xùn)練數(shù)據(jù)中屬于類(lèi)別Ci的數(shù)據(jù)個(gè)數(shù)Si與總的訓(xùn)練數(shù)據(jù)個(gè)數(shù)S的比值.P(Ci|X)表示給定數(shù)據(jù)樣本為X時(shí)，屬于類(lèi)別Ci的概率：

樸素貝葉斯分類(lèi)算法假設(shè)每個(gè)類(lèi)別相互獨(dú)立，即各特征的取值相互獨(dú)立，從而有

貝葉斯分類(lèi)算法根據(jù)計(jì)算的后驗(yàn)概率P(Ci|X)的取值大小預(yù)測(cè)出X的類(lèi)別，后驗(yàn)概率最大的類(lèi)別為X所屬的類(lèi)別.

因此，分別計(jì)算出X屬于每一個(gè)類(lèi)別Ci的概率P(Ci|X)，然后選擇其中概率最大的類(lèi)別作為其類(lèi)別.由此可見(jiàn)，對(duì)一個(gè)未知類(lèi)別的樣本X，它所屬的類(lèi)別與該樣本的特征息息相關(guān).

1.3 貝葉斯算法應(yīng)用于網(wǎng)頁(yè)木馬判定步驟

由于樸素貝葉斯分類(lèi)算法結(jié)合樣本的多個(gè)特征的取值對(duì)樣本進(jìn)行分類(lèi)，這與將行為分析應(yīng)用于未知木馬判斷的原理相吻合.因而，可以將分類(lèi)算法和網(wǎng)頁(yè)木馬行為分析結(jié)合起來(lái)判斷未知程序是否是網(wǎng)頁(yè)木馬（圖1）.

圖1 為樸素貝葉斯分類(lèi)算法應(yīng)用于網(wǎng)頁(yè)木馬判定的流程圖

（1）確定應(yīng)用程序的行為特征

在本文的研究中，確定應(yīng)用程序主要具有4個(gè)特征：注冊(cè)表中設(shè)置啟動(dòng)項(xiàng)；系統(tǒng)目錄下拷貝或創(chuàng)建文件；呈現(xiàn)可視化的界面；修改配置文件.

定義：PBC1表示應(yīng)用程序具有在注冊(cè)表設(shè)置啟動(dòng)項(xiàng)的特征表示應(yīng)用程序不具有在注冊(cè)表設(shè)置啟動(dòng)項(xiàng)的特征；PBC2表示應(yīng)用程序具有系統(tǒng)目錄下拷貝或創(chuàng)建文件的特征表示應(yīng)用程序不具有系統(tǒng)目錄下拷貝或創(chuàng)建文件的特征；PBC3表示應(yīng)用程序具有呈現(xiàn)可視化界面的特征表示應(yīng)用程序不具有呈現(xiàn)可視化界面的特征；PBC4表示應(yīng)用程序具有修改配置文件的特征表示應(yīng)用程序不具有修改配置文件的特征.

（2）確定實(shí)驗(yàn)數(shù)據(jù)，分析實(shí)驗(yàn)數(shù)據(jù)是否呈現(xiàn)上述的行為特征

本文選取的實(shí)驗(yàn)數(shù)據(jù)為45個(gè)合法程序和37個(gè)木馬程序，現(xiàn)分析選取的網(wǎng)頁(yè)木馬程序和合法程序是否呈現(xiàn)出上述行為特征.其中網(wǎng)頁(yè)木馬的行為特征是參照權(quán)威網(wǎng)站提供的網(wǎng)頁(yè)木馬特征描述確定的；而合法程序的行為特征是將程序運(yùn)行之后，查看其是否呈現(xiàn)上述特征確定的.

（3）將實(shí)驗(yàn)數(shù)據(jù)分為A組和B組2組數(shù)據(jù)

A組包含35個(gè)合法程序和27個(gè)木馬程序，其余的合法程序和木馬程序歸B組.A組作為樣本數(shù)據(jù)，B組用于檢驗(yàn)樣本A的計(jì)算結(jié)果.

在35個(gè)合法程序中，有11個(gè)具有PBC1的特征，3個(gè)具有PBC2的特征，28個(gè)具有PBC3的特征，6個(gè)具有PBC4的特征；在27個(gè)木馬程序中，有18個(gè)具有PBC1的特征，23個(gè)具有PBC2的特征，0個(gè)具有PBC3的特征，12個(gè)具有PBC4的特征.

由式（1.1）和式（1.3）可得

而先驗(yàn)概率P(LP)=35/(35+27)=0.5645,P(T)=27/(35+27)=0.4355.

（5）依據(jù)B組的數(shù)據(jù)驗(yàn)證樣本數(shù)據(jù)的計(jì)算結(jié)果，得出實(shí)驗(yàn)結(jié)論

根據(jù)貝葉斯分類(lèi)算法在網(wǎng)頁(yè)木馬判定中的原理，以及上一步計(jì)算所得的各項(xiàng)數(shù)據(jù)，區(qū)分B組的合法程序和網(wǎng)頁(yè)木馬程序，并計(jì)算漏報(bào)率和誤報(bào)率，以檢測(cè)貝葉斯分類(lèi)算法應(yīng)用于網(wǎng)頁(yè)木馬判定的準(zhǔn)確性.

2 基于樸素貝葉斯分類(lèi)算法的網(wǎng)頁(yè)木馬檢測(cè)模型設(shè)計(jì)

系統(tǒng)共分為4個(gè)子模塊：管理模塊、網(wǎng)頁(yè)代碼分析模塊、網(wǎng)頁(yè)木馬進(jìn)程創(chuàng)建監(jiān)控模塊以及網(wǎng)頁(yè)木馬行為分析模塊，如圖2所示.各個(gè)功能模塊的功能如下：

圖2 系統(tǒng)結(jié)構(gòu)

（1）管理模塊屬于界面程序，包括兩部分：系統(tǒng)配置和日志查看.系統(tǒng)配置響應(yīng)用戶(hù)對(duì)系統(tǒng)的控制、配置，如開(kāi)始、停止、自動(dòng)配置運(yùn)行等；日志查看能夠?qū)⑾到y(tǒng)產(chǎn)生的日志信息進(jìn)行提取并查看分析.

（2）網(wǎng)頁(yè)代碼分析模塊主要是對(duì)網(wǎng)頁(yè)中的鏈接和原代碼進(jìn)行分析，抓取網(wǎng)頁(yè)中的鏈接，分析鏈接文件的格式.若是可執(zhí)行文件，則該網(wǎng)頁(yè)可能被掛馬.

（3）進(jìn)程創(chuàng)建監(jiān)視模塊對(duì)系統(tǒng)進(jìn)程特別是iexplorer進(jìn)程中創(chuàng)建的子進(jìn)程進(jìn)行監(jiān)視.

（4）網(wǎng)頁(yè)木馬行為分析模塊屬于動(dòng)態(tài)監(jiān)視程序，負(fù)責(zé)對(duì)被鎖定的可疑進(jìn)程進(jìn)行監(jiān)視跟蹤，搜集程序的實(shí)時(shí)行為，主要實(shí)現(xiàn)對(duì)程序是否呈現(xiàn)可視化界面、文件、注冊(cè)表操作進(jìn)行監(jiān)視，進(jìn)而利用樸素貝葉斯定理進(jìn)行判定.

管理模塊同時(shí)啟動(dòng)代碼分析模塊和進(jìn)程創(chuàng)建監(jiān)視模塊，在進(jìn)程監(jiān)視到可疑的進(jìn)程創(chuàng)建時(shí)，立即啟動(dòng)木馬行為分析模塊，最后根據(jù)判別結(jié)果將日志信息寫(xiě)入日志模塊中，根據(jù)代碼分析模塊定位被掛馬的網(wǎng)頁(yè).

2.1 管理模塊

系統(tǒng)配置主要為用戶(hù)提供管理整個(gè)系統(tǒng)的接口，包括系統(tǒng)啟動(dòng)、停止和參數(shù)配置等功能.當(dāng)點(diǎn)擊開(kāi)始按鈕時(shí)，其程序流程如圖3所示.

圖3 管理模塊流程圖

當(dāng)監(jiān)視功能啟動(dòng)時(shí)，啟動(dòng)網(wǎng)頁(yè)代碼分析模塊，分析網(wǎng)頁(yè)中是否有可疑文件，并提取網(wǎng)頁(yè)中的鏈接；同時(shí)將進(jìn)程創(chuàng)建檢測(cè)模塊注入iexplore進(jìn)程中，進(jìn)程創(chuàng)建檢測(cè)模塊會(huì)自動(dòng)啟動(dòng)監(jiān)視功能；當(dāng)發(fā)現(xiàn)有進(jìn)程創(chuàng)建時(shí)，加載木馬行為分析模塊，判斷某可疑程序是否是木馬程序；最后根據(jù)網(wǎng)頁(yè)代碼分析結(jié)果和木馬行為監(jiān)測(cè)模塊的輸出判斷網(wǎng)頁(yè)是否掛馬，網(wǎng)頁(yè)代碼分析結(jié)果從靜態(tài)方面檢測(cè)，貝葉斯的網(wǎng)頁(yè)木馬行為分析從動(dòng)態(tài)方面檢測(cè)，兩者結(jié)合，增加了判定的準(zhǔn)確性.同時(shí)，網(wǎng)頁(yè)代碼分析模塊對(duì)行為分析檢測(cè)的網(wǎng)頁(yè)木馬進(jìn)行定位，找出被掛馬的網(wǎng)頁(yè).

2.2 創(chuàng)建監(jiān)視模塊設(shè)計(jì)

進(jìn)程創(chuàng)建監(jiān)視模塊主要是對(duì)掛接在IE 或系統(tǒng)關(guān)鍵進(jìn)程中新創(chuàng)建的進(jìn)程進(jìn)行檢測(cè)，一旦可疑的進(jìn)程創(chuàng)建，立刻通知網(wǎng)頁(yè)木馬行為監(jiān)視模塊對(duì)此進(jìn)程進(jìn)行監(jiān)視；同時(shí)將可疑的進(jìn)程創(chuàng)建的子進(jìn)程當(dāng)作可疑的木馬程序，并通知管理模塊，以便檢測(cè)可疑木馬程序是否已經(jīng)結(jié)束，從而能及時(shí)釋放不必要的資源.進(jìn)程創(chuàng)建監(jiān)視模塊是以dll形式存在的，由管理模塊將該模塊注入IE或系統(tǒng)關(guān)鍵進(jìn)程中，并常駐內(nèi)存.

運(yùn)行的流程如圖4所示，當(dāng)進(jìn)程監(jiān)視模塊被注入IE進(jìn)程中后，進(jìn)程創(chuàng)建監(jiān)視模塊會(huì)自動(dòng)實(shí)現(xiàn)對(duì)監(jiān)視點(diǎn)函數(shù)的掛鉤，當(dāng)進(jìn)程創(chuàng)建時(shí)，攔截此創(chuàng)建進(jìn)程的信息，并得到新創(chuàng)建進(jìn)程的信息.

圖4 進(jìn)程創(chuàng)建檢測(cè)模塊流程圖

2.3 行為監(jiān)視模塊

該模塊在應(yīng)用層實(shí)現(xiàn)，實(shí)現(xiàn)對(duì)注冊(cè)表、文件、可視化界面的創(chuàng)建、修改及訪(fǎng)問(wèn)網(wǎng)絡(luò)等行為的監(jiān)視.通過(guò)掛鉤注冊(cè)表操作的函數(shù)來(lái)實(shí)現(xiàn)對(duì)注冊(cè)表的監(jiān)視，由于本文主要對(duì)木馬程序進(jìn)行監(jiān)視，采用API掛鉤進(jìn)行監(jiān)視，如圖5所示.

圖5 文件監(jiān)視模塊流程圖

2.4 網(wǎng)頁(yè)代碼分析模塊

該模塊主要提取網(wǎng)頁(yè)中的鏈接，對(duì)直接鏈接所引用的文件格式進(jìn)行判斷，判斷是不是PE文件格式.

直接在當(dāng)前頁(yè)下載到本地引用的鏈接，為直接引用標(biāo)簽.直接引用標(biāo)簽是指當(dāng)前頁(yè)下載到本地所引用的標(biāo)簽，含直接引用標(biāo)簽鏈接的網(wǎng)頁(yè)會(huì)在用戶(hù)瀏覽該網(wǎng)頁(yè)時(shí)將標(biāo)簽指定的文件下載到本地的瀏覽器目錄.

間接引用標(biāo)簽是需要用戶(hù)點(diǎn)擊或者執(zhí)行某些操作，瀏覽器才會(huì)去訪(fǎng)問(wèn)的鏈接，一般不會(huì)直接下載到本地.這些鏈接通常指向某個(gè)新的網(wǎng)頁(yè)，也有的是提供下載某個(gè)文件的鏈接.網(wǎng)頁(yè)木馬通常是隱藏在多層網(wǎng)頁(yè)鏈接之中，因而需要繼續(xù)分析這些間接引用標(biāo)簽鏈接所指網(wǎng)頁(yè).

該模塊流程圖如圖6所示.

圖6 鏈接分類(lèi)流程

網(wǎng)頁(yè)中的文件一般下載到IE臨時(shí)文件夾中，而網(wǎng)頁(yè)中的可疑文件通常為PE（可執(zhí)行）文件.因此，網(wǎng)頁(yè)中可疑文件的分析原理，就是通過(guò)分析待檢測(cè)文件的格式是否符合PE文件格式，若符合，就是可疑文件.

通過(guò)對(duì)PE 文件格式的分析，讀取PE 文件頭的信息，然后判斷文件的PE 標(biāo)志，從而識(shí)別出文件是否是PE文件.

本文通過(guò)ImageFileType實(shí)現(xiàn)，其代碼如下：

DWORD ImageFileType（char*lpFile）{

CreateFile（…）//打開(kāi)文件.

CreateFileMapping（…）//創(chuàng)建內(nèi)存映射文件.

MapViewOfFile（…）//把文件頭映象存入baseointer.

bPFiel（…）//判定是否是PE文件

}

3 實(shí)驗(yàn)測(cè)試

（1）測(cè)試環(huán)境如表2所示

表2 測(cè)試環(huán)境

測(cè)試對(duì)象為一個(gè)被掛馬的網(wǎng)頁(yè)，即被植入“廣外男生”木馬的網(wǎng)頁(yè)木馬muma.htm，如表3所示.測(cè)試方法分為3步：

表3 測(cè)試對(duì)象

1）制作網(wǎng)頁(yè)木馬

使用“廣外男生”gwboy.exe客戶(hù)端生成一個(gè)Server.exe，漏洞利用工具，生成網(wǎng)頁(yè)木馬muma.htm.

2）上傳網(wǎng)頁(yè)木馬

選擇表2的操作系統(tǒng)1作為服務(wù)器，將網(wǎng)頁(yè)木馬文件上傳到服務(wù)器的網(wǎng)站目錄下，當(dāng)瀏覽muma.htm時(shí)就會(huì)中木馬.

3）啟動(dòng)網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng)

選擇表2 的操作系統(tǒng)2 作為客戶(hù)端，在客戶(hù)端啟動(dòng)網(wǎng)頁(yè)木馬檢測(cè)系統(tǒng)，在IE11 訪(fǎng)問(wèn)muma.htm，監(jiān)視muma.htm的行為，并根據(jù)輸出日志給出判斷結(jié)果.

（2）測(cè)試結(jié)果

（a）網(wǎng)頁(yè)代碼分析結(jié)果

網(wǎng)頁(yè)代碼分析模塊提取muma.htm網(wǎng)頁(yè)中的鏈接，對(duì)鏈接所引用的文件格式進(jìn)行分析，如圖7所示.由圖7可以看出，bbs003302.css為可疑文件.

圖7 網(wǎng)頁(yè)代碼分析結(jié)果

（b）進(jìn)程創(chuàng)建與行為分析結(jié)果

當(dāng)啟動(dòng)IE11 瀏覽muma.htm 時(shí)，觸發(fā)Microsoft Internet Explorer 遠(yuǎn)程任意命令執(zhí)行漏洞，下載bbs00323302.css和bbs00323302.gif，bbs00323302.css將釋放Server.exe文件，Server.exe運(yùn)行并釋放gwboydll.dll，同時(shí)設(shè)置為開(kāi)機(jī)自啟動(dòng)，該程序執(zhí)行時(shí)并不呈現(xiàn)可視化的界面.圖8、圖9、圖10分別為對(duì)進(jìn)程、文件和注冊(cè)表操作部分日志.

圖8 進(jìn)程操作日志

由進(jìn)程創(chuàng)建和行為分析結(jié)果可以得出，該程序具有在注冊(cè)表設(shè)置啟動(dòng)項(xiàng)、在系統(tǒng)目錄中創(chuàng)建文件的特征，不具有操作配置文件設(shè)置啟動(dòng)項(xiàng)和呈現(xiàn)可視化界面的特性，與實(shí)驗(yàn)收集到的網(wǎng)頁(yè)木馬行為特征中的“廣外男生”的行為特征相符，由本實(shí)驗(yàn)收集的木馬程序判別結(jié)果可以看出，該程序是木馬程序.因此，muma.htm是網(wǎng)頁(yè)木馬.

由網(wǎng)頁(yè)代碼分析結(jié)果得出，muma.htm被植入了bbs003302.css可疑木馬程序.實(shí)際上bbs003302.css是由Server.exe偽裝而來(lái).

同時(shí)利用代碼分析模塊能夠更加準(zhǔn)確定位網(wǎng)頁(yè)木馬.對(duì)附錄中實(shí)驗(yàn)收集的B組數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試結(jié)果如表4.可見(jiàn)，對(duì)木馬程序的漏報(bào)率為30%，對(duì)合法程序的誤報(bào)率為10%.

表4 B組數(shù)據(jù)測(cè)試結(jié)果

由以上的分析可以得出，本文提出的將樸素貝葉斯分類(lèi)算法應(yīng)用于網(wǎng)頁(yè)木馬行為的判斷，可以檢測(cè)出網(wǎng)頁(yè)木馬.該檢測(cè)方法具有誤報(bào)率低、檢測(cè)方法簡(jiǎn)單的特點(diǎn).但是由于實(shí)驗(yàn)數(shù)據(jù)收集得不完善，影響了分析的準(zhǔn)確性.同時(shí)，監(jiān)控技術(shù)和參數(shù)還有待進(jìn)一步完善.

4 結(jié)束語(yǔ)

本文通過(guò)分析網(wǎng)頁(yè)木馬的原理、網(wǎng)頁(yè)木馬植入的一般模型及網(wǎng)頁(yè)木馬的行為特征，提出了基于貝葉斯算法的網(wǎng)頁(yè)木馬的檢測(cè)模型，并給出了利用該模型進(jìn)行網(wǎng)頁(yè)木馬檢測(cè)的設(shè)計(jì)方案.通過(guò)實(shí)驗(yàn)數(shù)據(jù)分析，該方法可以檢測(cè)出網(wǎng)頁(yè)木馬.由于樣本數(shù)據(jù)收集得比較少，因此影響了判定分析，下一步工作要完善訓(xùn)練集，大幅增加樣本數(shù)據(jù).