混淆恶意JavaScript代码的检测与反混淆方法研究
本文选题:混淆 + Web安全 ; 参考:《计算机学报》2017年07期
【摘要】:针对混淆恶意JavaScript代码很难被检测以及很难被反混淆的问题,深入分析了混淆JavaScript代码的外部静态行为特征和内部动态运行特征.提出一种检测混淆与反混淆方法,设计并实现了一个原型系统.系统通过静态分析检测混淆,通过动态分析进行反混淆.静态分析只使用正常行为数据进行训练,采用主成分分析(PCA)、单分类支持向量机(One Class SVM)和最近邻(K-NN)算法检测混淆.动态分析分为两个步骤:首先遍历混淆代码抽象语法树(Abstract Syntax Tree)的节点;其次根据节点类型跟踪并分析节点上的相关变量,利用相关的变量终值进行反混淆.从真实环境中收集了总数为80 574条JavaScript正常与混淆恶意代码用于测试.大量的实验结果表明,在选用主成分分析算法时,在误报率为0.1%时,系统对混淆恶意JavaScript代码的检测率能达到99.90%.与此同时,文中提出的反混淆方法对超过80%的混淆代码能进行有效反混淆.
[Abstract]:Aiming at the problem that obfuscation of malicious JavaScript code is difficult to detect and anti-obfuscation, the external static behavior characteristics and internal dynamic running characteristics of obfuscation JavaScript code are deeply analyzed.A method of detecting confusion and anti-confusion is proposed, and a prototype system is designed and implemented.The system detects confusion by static analysis and anti-confusion by dynamic analysis.Static analysis only uses normal behavior data for training. Principal component analysis (PCA), single classification support vector machine (SVM) and nearest neighbor (K-NNN) algorithm are used to detect confusion.Dynamic analysis is divided into two steps: first, traversing the node of the obfuscation code abstract syntax tree (Abstract Syntax tree); secondly, tracking and analyzing the relevant variables on the node according to the node type, and using the final values of the relevant variables to carry out anti-obfuscation.A total of 80,574 pieces of JavaScript normal and obfuscated malicious code were collected from real environment for testing.A large number of experimental results show that when the principal component analysis (PCA) algorithm is selected and the false alarm rate is 0.1, the detection rate of the confused malicious JavaScript code can reach 99.90%.At the same time, the anti-obfuscation method proposed in this paper can effectively counter-confuse more than 80% of the obfuscation codes.
【作者单位】: 北京交通大学计算机与信息技术学院;石河子大学信息科学与技术学院;
【基金】:上海市信息安全综合管理技术研究重点实验室 教育部高校创新团队项目(IRT201206);教育部高等学校博士学科点专项科研基金(20120009110007,20120009120010);教育部留学回国人员科研启动基金项目(K14C300020)资助 博士点基金 中央高校基本科研业务费专项资金(2015JBM025)
【分类号】:TP309
【相似文献】
相关期刊论文 前10条
1 孙小淋;;基于JavaScript的消息管理机制探讨[J];软件;2013年07期
2 洪留荣,贺蕴普,于娟;用JavaScript实现WEB数据库的交并集查询[J];计算机系统应用;1999年04期
3 张志远;JavaScript与客户端安全[J];东莞理工学院学报;2002年02期
4 陈晓勇,沈良琼;JavaScript在科学设计与计算中的应用[J];西南科技大学学报(自然科学版);2002年03期
5 柯琦;;JavaScript程序设计基础课程教学浅析[J];教育教学论坛;2013年05期
6 ;千里之堤会毁于一穴吗? Java、JavaScript的漏洞既有可能减小障碍,也会发生重大问题[J];每周电脑报;1997年37期
7 汪迎春;;基于JavaScript技术的网页课程设计项目设计[J];信息与电脑(理论版);2013年10期
8 田会;;JavaScript与Java在Web开发中的应用与区别[J];电子技术与软件工程;2014年09期
9 李轶;;基于JavaScript的面向对象程序设计研究[J];江汉大学学报(自然科学版);2010年03期
10 许孝元;Java与JavaScript交叉调用技术在Web开发中的应用[J];电脑与信息技术;1999年03期
相关会议论文 前1条
1 段寿建;张旭洁;胡绍波;李忠态;;基于JavaScript和PHP的多级联动下拉菜单的设计与实现[A];AECC专题学术研讨会论文集[C];2007年
相关重要报纸文章 前4条
1 浙江 潘贤林;用 JavaScript 批量浏览图片[N];电脑报;2001年
2 赵泽欣;老道的JavaScript精华子集[N];中华读书报;2012年
3 邓飞;JavaScript网页特效[N];中国电脑教育报;2002年
4 于翔;JavaScript升级引发微软、Mozilla论战[N];网络世界;2007年
相关硕士学位论文 前7条
1 林水明;不透明谓词在JavaScript代码保护的应用研究[D];广东工业大学;2016年
2 吴通;基于程序分析和机器学习的JavaScript代码推荐研究[D];上海交通大学;2014年
3 郭小福;嵌入式JavaScript引擎的优化与实现[D];电子科技大学;2012年
4 柯宏;嵌入式JavaScript解释器在机顶盒中的设计与实现[D];华中科技大学;2007年
5 张锐;嵌入式JavaScript引擎即时编译器的研究与设计[D];电子科技大学;2011年
6 徐青;JavaScript恶意代码检测技术研究[D];西南交通大学;2014年
7 余启洋;嵌入式JavaScript引擎并行化研究与设计[D];电子科技大学;2013年
,本文编号:1742862
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/1742862.html
