DETECTING MALICIOUS WEBSITES USING CLIENT HONEYPOTS.pdf

1、近年來(lái),使用惡意網(wǎng)站向端用戶發(fā)動(dòng)攻擊已經(jīng)越來(lái)越構(gòu)成威脅。惡意網(wǎng)站操作者的主要?jiǎng)訖C(jī)就是金錢的利益。因此,攻擊者將要提升他們站點(diǎn)的可用性和生存期。FF網(wǎng)絡(luò)是惡意網(wǎng)站最近使用的技術(shù)之一。FF網(wǎng)絡(luò)使用妥協(xié)計(jì)算機(jī)構(gòu)成的代理網(wǎng)絡(luò)來(lái)重定向和宿主快速服務(wù)以獲得高可用性和隱藏惡意服務(wù)器的源地址。雖然FF是一個(gè)新的話題,許多工作提出了檢測(cè)方法以發(fā)現(xiàn)FF服務(wù)的存在。目前大多數(shù)FF檢測(cè)方法常常通過建立一個(gè)可復(fù)制的DNS表來(lái)監(jiān)控DNS的改變。然而,這種方法是耗時(shí)

2、的,因?yàn)槲覀儽仨毜却粋€(gè)特定的時(shí)間才能夠發(fā)送下一個(gè)DNS請(qǐng)求。本文關(guān)注于檢測(cè)惡意站點(diǎn),尤其關(guān)于檢測(cè)使用FF網(wǎng)絡(luò)的惡意站點(diǎn)。本文還評(píng)價(jià)了客戶端蜜罐的有效性來(lái)檢測(cè)和理解惡意站點(diǎn)。本文通過對(duì)客戶端蜜罐的擴(kuò)展研究和分析來(lái)滿足這些研究目的。首先,我們通過分析和比較各種類型和方法來(lái)解決客戶端蜜罐問題。然后,我們提出了監(jiān)督檢測(cè)算法,通過分析DNS查詢響應(yīng)來(lái)識(shí)別FF域?；谔岢龅臋z測(cè)算法和客戶端蜜罐概念,我們提出了一個(gè)新的模型來(lái)實(shí)時(shí)動(dòng)態(tài)地檢測(cè)惡意FF站

3、點(diǎn)。然后,我們使用了基于低交互客戶端蜜罐方案模型的FF檢測(cè)來(lái)提高低交互蜜罐的準(zhǔn)確率和速度。這些研究取得了許多重要的成就。一是,我們通過實(shí)時(shí)分析一個(gè)DNS查詢相應(yīng)就能夠檢測(cè)FF域,這有助于保護(hù)用戶瀏覽網(wǎng)頁(yè)。二是,我們能夠在互聯(lián)網(wǎng)空間下搜索FF域并以較短的時(shí)間識(shí)別他們以支持其他的安全工具例如IDS,防火墻等。三是,我提出了新的LCH方案的檢測(cè)方法,能夠克服以往LCH的缺點(diǎn)。這個(gè)新的模型能夠更快地檢測(cè)新的攻擊。四是,我們提出了惡意站點(diǎn)使用的實(shí)