论文摘要
作为一个客户端的应用程序,浏览器是用户和因特网之间进行交互的一个重要平台。现在存在许多与浏览器密切相关的恶意攻击,对用户浏览器安全造成了严重的威胁。此外Web2.0因功能丰富、响应快速以及交互性强而倍受开发人员与用户的青睐,Web2.0应用程序的特点是允许接受不受信任的来源并将大量计算工作放置客户端执行。随着这个趋势,攻击者也渐渐地将攻击目标从服务器端转向了客户端,而目前的Web安全技术发展远远落后于应用技术的发展,使得Web应用程序频繁遭到攻击,而JavaScript语言也同时被许多恶意团体用来开发基于浏览器的攻击。本文提出了一种根据安全检测规则控制JavaScript执行行为来确保浏览器安全的方法。目的是为了阻止或者修改因恶意脚本注入而导致的非合法行为,利用GreaseMonkey,保护机制(安全检测规则)将自动化的插入到代码中,在事件执行前拦截所有与安全相关的事件的执行。我们不需要对JavaScript代码进行静态分析,仅仅需要将JavaScript代码的执行情况与高层定义的安全检测规则进行比较就可以检测出代码的恶意行为。当用户访问Web站点时,该系统将安全检测规则自动化地插入到该Web站点中,分析网站潜在的安全威胁,并同时将审计的日志信息保存在客户端的本地文件中。安全检测规则的实现采用了面向方面编程技术原理。而创建安全检测规则的挑战主要来自于JavaScript语言本身的特性:在程序范围内任何变量都可以重新定义,并且可以动态创建和运行代码。这就带来了潜在的问题,尤其是保护机制的防篡改以及确保任何与安全有关的事件都不会绕过保护机制。不同于以前的那些方法,我们所提出的是一种轻量级的方法,第一,它不需要修改浏览器代码;其次,它不需要在运行期间解析并转换代码,包含所有动态生成的代码在内。此外,本文最后在实际环境下用多个Web应用程序对该方法进行了评估测试,实验表明该系统不要修改浏览器代码,并且能够有效地防御多种常见的恶意攻击类型。与其它系统进行比较,本系统的运行时间负载较低。
论文目录
相关论文文献
标签:基于浏览器的攻击论文; 检测规则论文; 安全论文;