随着Web应用的日益广泛,恶意网页对用户的危害越来越大。恶意URL是指它网址是正确的,但该网页包含对用户有害的恶意代码,会利用浏览器或插件的漏洞攻击用户,导致浏览器自动下载恶意软件。基于对大量存活恶意URL特征的统计分析,重点结合恶意URL的重定向跳转、客户端环境探测等逃避检测特征,从页面内容、JavaScript函数参数和Web会话流程三个方面设计了25个特征,提出了基于多特征集成和机器学习的恶意URL检测方法。测试结果表明,该方法获得了96.2%的准确性和94.6%的召回率,可以有效检测恶意URL。与开源项目和安全软件的检测结果相比,HADMW取得了更好的效果。
随着互联网的快速普及,用户在生活和工作中享受到了互联网带来的便利服务,也面临着恶意网页。安全威胁。恶意URL是指相应的网页中含有对用户有害的恶意代码。在用户访问网页的过程中,这些恶意代码利用用户浏览器或插件中的漏洞攻击用户,并自动下载恶意软件。根据赛门铁克发布的统计报告,2018年发现近3亿个新的恶意URL,恶意URL已成为互联网安全的主要威胁之一。
攻击者使用恶意URL攻击的整个过程通常包括:首先,攻击者入侵正常网站并在页面上获得管理权。插入自动重定向代码;这些代码将引导用户进入恶意URL。一旦用户访问被篡改网站的URL,用户将被迫在不知情的情况下自动跳转到恶意网站;恶意网站根据用户的要求信息判断用户的客户端环境。对于符合攻击条件的用户,将直接返回包含恶意代码的恶意页面;当用户浏览器分析和执行这些恶意页面时,恶意代码将自动执行,利用浏览器或插件的漏洞获得先进的系统权限,自动将恶意软件下载到用户客户端,对用户造成持续的伤害。恶意URL的整个攻击过程不需要用户参与交互,攻击方法非常隐蔽。目前,恶意网站的检测方法主要是静态分析页面代码或动态执行。基于页面代码静态分析的方法是对页面代码进行静态匹配和分析,然后根据启发式规则和机器学习进行检测。常见的页面特征包括隐藏标签的数量、字符串的最大长度和页面中URL的数量。基于页面代码静态分析的方法检测速度快,通常用于初步筛选和过滤。基于动态执行的方法是在受控环境(如客户端蜂蜜罐)中执行源代码,监控触发行为和系统状态的变化,但只有在特定环境下才会触发恶意URL的攻击行为。