動態網頁(Dynamic HTML, DHTML)是一種包含 HTML、客戶端指令碼與相關技術來創建網頁中動態內容的方法。網頁動態化的需求與網頁應用程式的普及使得攻擊者現今有了 DHTML 此種散佈便利且又難以察覺的新攻擊載體。而面對往往經過變形、混淆(obfuscate)的惡意 DHTML,一般使用者所仰賴的防毒軟體其普遍使用的特徵比對技術又對此難以著力。
有鑑於此,本研究由模式(model)與推論(reasoning)的觀點,提出模式基礎推論(Model-based Reasoning, MoBR)此種對多型與變型等混淆機制具耐受性而能正確判斷 DHTML 是否為惡意的演算法。在 MoBR 中,本研究以樣板(template)的機制,透過描述字詞與語意兩方面的特徵來構築某類惡意 DHTML 的模式。以現實網路上的 DHTML 所進行的實驗結果證實:相較於市售防毒軟體,本研究基於 MoBR 實作的偵測程式 AlgoMD,在誤警率與誤判率方面均有優良的表現。除此之外 AlgoMD 亦對混淆機制具耐受性,能在低誤警率(false positive rate)下有效辨識出已經混淆變形的惡意 DHTML 網頁。
|