本科毕业论文开题报告书
题目:web木马检测系统的设计与实现
一、结合课题任务情况,查阅文献资料,撰写不少于1000字的文献综述(主要参考文献附后)
国外研究现状:国外学者很早就开展了web木马检测未知恶意代码。1994年,Kephart等提出使用人工神经网络(ANN)方法来检测引导区病毒,但是该分类器有很大局限性,只能针对引导性病毒进行检测。
Schultz等人(2001)最早提出使用web技术可以检测出不同类型的病毒,同时也使用了多种分类器包括朴素贝叶斯、RIPPER等分类器方法。
Kolter等人引入N-gram技术用于提取病毒特征,N-gram分析技术主要广泛应用于自然语言处理和语音识别等。
Tony等人使用了N-gram提取特征技术,以KNN为分类器,实验采用了3重交叉验证,获得很高的实验精度。网页木马相比一般的恶意代码来说是更难检测的,这是因为网页木马程序经常会被攻击者加壳和进行混淆,这样使得模式匹配分析变得非常困难。很多学者开始研究如何检测网页木马混淆攻击。
韩国学者Young等人提出一种通过分析正常和恶意的JavaScript代码来检测混淆字符串,它们提取了三个指标作为规则,这三种指标分别是N元模型、熵以及字长,并且用现实中的恶意网页进行评估。
国内研究现状:
基于模式匹配的方法主要原理是通过对恶意代码样本集进行分析,提取出能与正常代码区分的特征,将这些特征存储到数据库形成特征集合,对待测样本也进行提取特征操作,与数据库中的特征集合进行比对,若比对成功,则表明待测代码是恶意代码。基于模式匹配的方法优点是算法简单且检测效率极高,缺点也非常明显,特征码主要依赖于专家手工分析提取,也不能够预测未知的恶意代码,对于混淆或变形的恶意代码也无能为力。
何申等人从统计数学分析方法角度分析恶意网页代码提出了检测方法,并估计了分类结果可能发生的最大错误率。
刘琪等人将正则表达式应用到恶意代码的动态分析,一方面,恶意代码大都会操纵、修改注册表,通过监控注册表键值的变化可以提取到恶意行为的一些特征;另一方面,通过监控对文件的读写操作设计正则表达式以获取所需的恶意行为特征。
吴润浦等人提出了一种基于代码分析的网页木马检测模型,将特征分为内部特征与外部特征,特征采用正则表达式进行提取,首先提取外部特征,判断是否经过变形,若变形则进行还原,然后再提取内部特征,最后结合内外部特征利用统计方法判断是否为恶意代码。
张昊等人对恶意脚本进行预处理,将判断矩阵法应用到网页木马检测,实验表明该方法对escape和unescape加密、解密具有较高的检测效率,但是对其它的变形却无能为力。
葛先军等人对木马网页中的链接进行分析,追查木马所在的精确位置,为监管部门清除木马提供了一种方法。基于web的智能检测技术已经成为当前研究的热点,它利用web技术从训练集合中提取出一系列有意义的模式。利用web可以归纳出已知代码的类别,能够有效预测未知的恶意代码。
目前,基于web木马检测技术尚不是十分成熟,很多方面都处于理论阶段,还没有广泛应用于恶意代码检测领域。
二、选题依据、主要研究内容、研究思路及方案
(一)选题依据
网页恶意代码是一种插入在网页中能够自动这行的代码或者程序,许多方法(恶意脚本,缓冲区溢出等)都可以通过网页恶意代码攻击系统,这是一种新的攻击方法。国内外的许多专家学者大部分都注重于单一的防卫技术研究,还没有形成一种理想的防卫系统。随着网页木马成为网络安全攻击的主要方式,网页木马的检测技术成为国内安全领域重要的研究方向。目前的主要检测方法有静态分析、动态分析、web等检测方法。动态分析主要使用蜜罐(虚拟机)进行检测。静态分析主要是利用模式匹配的方法来识别恶意代码,但此种方法对经过混淆的恶意代码基本无能为力。另外,还有人基于web的网页木马检测方法。
(二)主要研究内容
本文研究的主要内容主要是:根据当前Web服务器所面对的威胁,然后针对这些安全威胁设计一套木马检测系统,并通过ISAPI实现对Windows平台下的IIS服务器的保护。在这套木马检测系统中,可以通过制定策略来检测所有访问Web服务器的行为,可以有效地阻止恶意攻击从而保护Web服务器的安全。这套木马检测系统的策略引擎可以加载和调用VC++语言编写的策略脚本,使策略脚本的编写更加简单。
(三)研究思路及方案
由于系统要对客户端发送的Http报文进行分析,这需要对Http报文进行解析,Http报文解析的方式主要有两种:
(1)自解析:系统对原始数据报文自行解析;
(2)由Web服务器进行解析,需要时系统通过Web服务器提供的接口查询。
方式(1)可以提供比方式(2)更好的移植性,但这种报文解析的方式需要一种截获下层原始报文的能力,这可以通过截获传输层或网际层报文的实现,由于我们将这套系统定位于仅针对Web访问的木马检测,我们对Http协议外的报文并不关心,所以我们选择方式(2)作为我们的Http报文解析方案,即通过Web服务器提供的接口仅仅截获应用层的Http报文。
要对客户端发起的请求进行完全的监控光靠检测客户端的行为是不够的,因为这样我们只知道客户端发起什么样的请求但无法知道服务器端是如何对客户端进行响应的。一次完整的Http会话既然包括客户端发送请求和服务器端对请求的响应,那么只有监控服务器端响应的内容后,才能知道这次Http会话何时结束。如果Web服务器提供Http报文封装的接口,则在对客户端进行响应时我们也尽量调用Web服务器的这些接口而不是自己组装Http报文。
这样,这套木马检测系统的核心便是其策略引擎,通过强大而灵活的策略引擎来实现特征检测或者异常检测。下面将介绍这个Web的木马检测系统的具体体系结构和处理流程。
1. 绪论
1.1 研究背景及意义
1.1.1研究背景
1.1.2 研究意义
1.2 国内外研究现状
1.2.1 国外研究现状
1.2.2 国内研究现状
1.3 论文组织结构
2.关键技术
2.1 缓冲区溢出
2.2 SQL注入攻击
2.3 基于脚本的DDos攻击
2.4 其他的不安全因素
3Web的木马检测系统的设计
3.1 体系结构
3.2 处理流程
3.3 对客户端访问的响应
3.4 策略引擎的设计
3.4.1策略的属性
3.4.2策略的加载
3.4.3策略的调度
3.4.4策略的接口
4Web的木马检测系统的实现
4.1 基于ISAPI 的解析及响应模块的实现
4.1.1使用ISAPI Filter获取Http报文信息
4.1.2使用ISAPI进行Http响应
4.1.3在服务器上的安装配置ISAPI Filter
4.2 基于VC++的策略实现
4.2.1对策略的封装
4.2.2VC++策略脚本示例
4.3 基于xml的策略管理
5系统运行过程及测试
6. 总结与展望
6.1 总结
2.2 展望
参考文献
[1] Michael Howard, David LeBlanc.程永敬等译.编写安全的代码[M].机械工业出版社, 2012
[2] coolswallow. SQL盲注攻击技术综述[Z].
[3] Marcus Goncalves.孔秋林等译.防火墙技术指南[M].机械工业出版社,2012
[4] 田东风, 秦江. ISAPI与网络服务器安全研究[J]. 微计算机信息,2014,(8):107-108
[5] 朱玉山,王晓冬.ISAPI 开发指南[M].北京:清华大学出版社,1998
[6] 邓际锋.一颗璀璨的月光宝石-VC++[J].程序员, 2016,(6):66-68.
[7] Programming in VC++ [M].http://www.VC++.org/pil/, 2013
[8] 云风.我的编程感悟[M].电子工业出版社,2015
三、工作进度及具体安排
2021年09月—2021年10月:确定指导老师和论文选题
2021年10月—2021年11月:查找资料,撰写开题报告
2021年11月:参加开题报告会答辩
2021年11月—2021年12月:完成论文第一稿
2022年01月—2022年02月:完成论文第二稿
2022年02月—2022年03月:完成论文第三稿
2022年03月—2022年04月:完成论文查重、定稿
2022年04-05月:参加论文答辩
2022年05月7日前:提交论文全稿文本
四、指导教师意见
该生选题为web木马检测系统的设计与实现,紧扣专业方向,具有一定的创新价值和现实意义,体现了本专业的人才培养目标 。该生阅读了一定量的参考文献资料,对该领域相关技术的国内外研究现状具有一定的了解,具备完成本课题设计的基本能力和条件,有助于提高学生动手能力、资料查阅和问题解决能力,符合学生的专业发展方向。本课题的拟研究内容充分,论文结构设计基本合理,研究方案和工作进度具有可行性,综上所述,同意开题。
指导教师:
年 月 日
说明:开题报告作为毕业论文(设计)答辩委员会对学生答辩资格审查的依据材料之一,此报告应在导师指导下,由学生填写,将作为毕业论文(设计)成绩考查的重要依据,经导师审查后签署意见生效。