基于机器学习的drive-by download检测的研究

发布时间：2024-02-27 18:08

　　互联网的不断发展,其中的安全问题也随着显现。Drive-by download攻击通过用户在访问含有针对其浏览器漏洞的利用代码的网页,分发恶意软件的下载并执行。自出现以来,Drive-bydownload攻击不断发展并且成为了恶意软件分发的主要途径。本文对国内外针对该攻击的检测技术进行了深入的研究,提出了基于AdaBoost-SVM算法的攻击检测方法,并设计实现了检测系统。本文的主要工作和创新点如下:通过对HTTP信息的统计,提出5个能够区分正常下载行为和Drive-by download行为的特征,能够克服已有研究对规避技术、重定向方式检测的不足。本文提出的5个新特征如下:下载经过站点数量、下载恶意文件数量、HTTP响应包含X-Powered-By字段次数、浏览器隐身次数、javascript混淆调用函数次数。基于重定向关系,通过HTTP请求中的referer字段、HTTP响应中的Location字段、响应实体中URL,提出获取可执行文件分发路径的方法。针对现有检测模型的缺陷,本文采用基于AdaBoost-SVM算法的Drive-by download检测方法。使用AdaBoost算...

【文章页数】：77 页

【学位级别】：硕士

【部分图文】：

图２．１偷渡式下载过程??目前，攻击者通常采用代码混淆和重定向这两种方式对用户电脑进行攻击

北京邮电大学工学硕士学位论文??用户访问受损站点。??受损站点服务器使用例如ｉｆｍｍｅ嵌套的方式将用户重定向到跳板站载渗透代码。以Ｊａｖａｓｃｒｉｐｔ为主的攻击代码将对用户浏览器存在的漏渗透。??一次从受损站点到跳板站点的重定向。??攻击代码成功渗透漏洞后，将使得用户电脑向恶意软....

图２．４采集数据包步骤??

图２．４采集数据包步骤??字符串指针能够作为ｐｃａｐ＿ｏｐｅｎ＿ｌｉｖｅ（）或ｐ特别的，如果当前设备可用网卡不止一块，组成。??ｕｐｄｅｖ（）函数打开网络设备，该函数由五个。参数ｓｎａｐｌｅｎ限制最大能够采集到的数种模式。参数ｔｏ＿ｍＳ表示经过多长时间超空指针，来指示错误信息。ｐ....

图２．５?ｓｋｉ?ｅａｒｎ流＜?程图??估计器（Ｅｓｔｉｍａｔｏｒ）其实就是模型，它用于对数据的预测或回归，基本上估计器??都会有以下几个方法：ｆｉｔ（ｘ，ｙ）：传入数据以及标签即可训练模型，训练的时间和??

图２．５?ｓｋｉ?ｅａｒｎ流＜?程图??估计器（Ｅｓｔｉｍａｔｏｒ）其实就是模型，它用于对数据的预测或回归，基本上估计器??都会有以下几个方法：ｆｉｔ（ｘ，ｙ）：传入数据以及标签即可训练模型，训练的时间和??参数设置，数据集大小以及数据本身的特点有关。ｓｃ〇ｒｅ（ｘ，ｙ）用于对模....

图３．１偷渡式下载在站点数量上的分布图??对收集到的３０２个正常下载数据集的分析后发现，单次下载经过的站点数目??

站点数目小于３的次数为２０４个，整个数据集中占比达到６７．５％。通过对正常下??载行为的分析，发现正常下载行为的站点数目通常较小。偷渡式下载行为以及正??常下载行为所经过的站点数量对比图如图３．２所示??２５０??２００?Ｖ??＼??１５０?＼??１００?＼??５０??＾?—??....

本文编号：3912776