当前位置:主页 > 管理论文 > 移动网络论文 >

基于机器学习的drive-by download检测的研究

发布时间:2024-02-27 18:08
  互联网的不断发展,其中的安全问题也随着显现。Drive-by download攻击通过用户在访问含有针对其浏览器漏洞的利用代码的网页,分发恶意软件的下载并执行。自出现以来,Drive-bydownload攻击不断发展并且成为了恶意软件分发的主要途径。本文对国内外针对该攻击的检测技术进行了深入的研究,提出了基于AdaBoost-SVM算法的攻击检测方法,并设计实现了检测系统。本文的主要工作和创新点如下:通过对HTTP信息的统计,提出5个能够区分正常下载行为和Drive-by download行为的特征,能够克服已有研究对规避技术、重定向方式检测的不足。本文提出的5个新特征如下:下载经过站点数量、下载恶意文件数量、HTTP响应包含X-Powered-By字段次数、浏览器隐身次数、javascript混淆调用函数次数。基于重定向关系,通过HTTP请求中的referer字段、HTTP响应中的Location字段、响应实体中URL,提出获取可执行文件分发路径的方法。针对现有检测模型的缺陷,本文采用基于AdaBoost-SVM算法的Drive-by download检测方法。使用AdaBoost算...

【文章页数】:77 页

【学位级别】:硕士

【部分图文】:

图2.1偷渡式下载过程??目前,攻击者通常采用代码混淆和重定向这两种方式对用户电脑进行攻击

图2.1偷渡式下载过程??目前,攻击者通常采用代码混淆和重定向这两种方式对用户电脑进行攻击

北京邮电大学工学硕士学位论文??用户访问受损站点。??受损站点服务器使用例如ifmme嵌套的方式将用户重定向到跳板站载渗透代码。以Javascript为主的攻击代码将对用户浏览器存在的漏渗透。??一次从受损站点到跳板站点的重定向。??攻击代码成功渗透漏洞后,将使得用户电脑向恶意软....


图2.4采集数据包步骤??

图2.4采集数据包步骤??

图2.4采集数据包步骤??字符串指针能够作为pcap_open_live()或p特别的,如果当前设备可用网卡不止一块,组成。??updev()函数打开网络设备,该函数由五个。参数snaplen限制最大能够采集到的数种模式。参数to_mS表示经过多长时间超空指针,来指示错误信息。p....


图2.5?ski?earn流<?程图??估计器(Estimator)其实就是模型,它用于对数据的预测或回归,基本上估计器??都会有以下几个方法:fit(x,y):传入数据以及标签即可训练模型,训练的时间和??

图2.5?ski?earn流<?程图??估计器(Estimator)其实就是模型,它用于对数据的预测或回归,基本上估计器??都会有以下几个方法:fit(x,y):传入数据以及标签即可训练模型,训练的时间和??

图2.5?ski?earn流<?程图??估计器(Estimator)其实就是模型,它用于对数据的预测或回归,基本上估计器??都会有以下几个方法:fit(x,y):传入数据以及标签即可训练模型,训练的时间和??参数设置,数据集大小以及数据本身的特点有关。sc〇re(x,y)用于对模....


图3.1偷渡式下载在站点数量上的分布图??对收集到的302个正常下载数据集的分析后发现,单次下载经过的站点数目??

图3.1偷渡式下载在站点数量上的分布图??对收集到的302个正常下载数据集的分析后发现,单次下载经过的站点数目??

站点数目小于3的次数为204个,整个数据集中占比达到67.5%。通过对正常下??载行为的分析,发现正常下载行为的站点数目通常较小。偷渡式下载行为以及正??常下载行为所经过的站点数量对比图如图3.2所示??250??200?V??\??150?\??100?\??50??^?—??....



本文编号:3912776

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3912776.html


Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户d21e7***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com