基于抗混淆技术的JavaScript恶意代码检测模型研究
发布时间:2021-06-08 23:00
JavaScript是交互式网站开发广泛使用的一种技术,但由于其代码不进行预编译而直接被用户浏览器解释的特性,恶意的JavaScript容易被当作一种基于网页的攻击手段。而且为了逃避传统的基于静态特征匹配的检测系统的捕获,攻击者往往将恶意的JavaScript代码进行混淆操作,所以如何有效准确地识别出混淆恶意的JavaScript代码变得尤为重要。本文利用信息论测度知识来检测JavaScript混淆代码,可以捕获基于统计特征检测器的逃逸攻击,并对混淆代码进行反混淆,最后利用机器学习知识来检测JavaScript恶意代码。具体工作如下:1.通过对JavaScript代码语法分析,改进了基于统计特征的JavaScript混淆代码检测模型。改进后的模型对JavaScript代码进行N-gram分词并计算相应对象的频率,然后计算信息论测度值,最后通过One-class SVM单分类器进行分类。实验表明,改进的方法达到了更好的检测效果,并且验证了 Bigram分词比Unigram分词达到的效果更好。2.通过对基于统计特征的JavaScript代码检测模型的分析,构造了针对该模型的逃逸攻击,并提出...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
图1-1?2013年6月至2018年6月中国网站数量统计图⑴??I2】
3.1目前JavaScript混淆代码检测存在的问题??目前对于JavaScript混淆代码的检测,大多数是和恶意代码检测结合起来??的,传统的基于机器学习的JavaScript混淆恶意代码检测,如图3-1所示,其一??般流程是:先对代码进行混淆检测,若判断代码混淆,则提取代码行为特征进??行动态执行分析;若判断代码不是混淆,则使用提取文本特征的静态检测方法。??f开始)??、、?--???V???输入javaScript代码??Y??<、:\浞渚判断>一一]??是?I?行???y???y???|提取代码行为特征?I?提取文本特征???V???V???动态检测?静态检测????I??输出结果??f结來)??图3-1传统的机器学习检测JavaScript混淆恶意代码流程??该传统的基于机器学习的检测方法的一个明显不足就是若判断代码混淆,??需要进行动态检测,成本较高且耗时,导致模型整体效率不高。目前最好的做??法是将JavaScript混淆代码检测和JavaScript恶意代码检测分开,如图3-2所示,??首先对代码进行混淆检测,若判断混淆,则使用SpiderMonkey进行反混淆,然??13??
3.1目前JavaScript混淆代码检测存在的问题??目前对于JavaScript混淆代码的检测,大多数是和恶意代码检测结合起来??的,传统的基于机器学习的JavaScript混淆恶意代码检测,如图3-1所示,其一??般流程是:先对代码进行混淆检测,若判断代码混淆,则提取代码行为特征进??行动态执行分析;若判断代码不是混淆,则使用提取文本特征的静态检测方法。??f开始)??、、?--???V???输入javaScript代码??Y??<、:\浞渚判断>一一]??是?I?行???y???y???|提取代码行为特征?I?提取文本特征???V???V???动态检测?静态检测????I??输出结果??f结來)??图3-1传统的机器学习检测JavaScript混淆恶意代码流程??该传统的基于机器学习的检测方法的一个明显不足就是若判断代码混淆,??需要进行动态检测,成本较高且耗时,导致模型整体效率不高。目前最好的做??法是将JavaScript混淆代码检测和JavaScript恶意代码检测分开,如图3-2所示,??首先对代码进行混淆检测,若判断混淆,则使用SpiderMonkey进行反混淆,然??13??
【参考文献】:
期刊论文
[1]面向drive-by-download攻击的检测方法[J]. 马洪亮,王伟,韩臻. 华中科技大学学报(自然科学版). 2016(03)
硕士论文
[1]JavaScript恶意代码检测技术研究[D]. 徐青.西南交通大学 2014
本文编号:3219387
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
图1-1?2013年6月至2018年6月中国网站数量统计图⑴??I2】
3.1目前JavaScript混淆代码检测存在的问题??目前对于JavaScript混淆代码的检测,大多数是和恶意代码检测结合起来??的,传统的基于机器学习的JavaScript混淆恶意代码检测,如图3-1所示,其一??般流程是:先对代码进行混淆检测,若判断代码混淆,则提取代码行为特征进??行动态执行分析;若判断代码不是混淆,则使用提取文本特征的静态检测方法。??f开始)??、、?--???V???输入javaScript代码??Y??<、:\浞渚判断>一一]??是?I?行???y???y???|提取代码行为特征?I?提取文本特征???V???V???动态检测?静态检测????I??输出结果??f结來)??图3-1传统的机器学习检测JavaScript混淆恶意代码流程??该传统的基于机器学习的检测方法的一个明显不足就是若判断代码混淆,??需要进行动态检测,成本较高且耗时,导致模型整体效率不高。目前最好的做??法是将JavaScript混淆代码检测和JavaScript恶意代码检测分开,如图3-2所示,??首先对代码进行混淆检测,若判断混淆,则使用SpiderMonkey进行反混淆,然??13??
3.1目前JavaScript混淆代码检测存在的问题??目前对于JavaScript混淆代码的检测,大多数是和恶意代码检测结合起来??的,传统的基于机器学习的JavaScript混淆恶意代码检测,如图3-1所示,其一??般流程是:先对代码进行混淆检测,若判断代码混淆,则提取代码行为特征进??行动态执行分析;若判断代码不是混淆,则使用提取文本特征的静态检测方法。??f开始)??、、?--???V???输入javaScript代码??Y??<、:\浞渚判断>一一]??是?I?行???y???y???|提取代码行为特征?I?提取文本特征???V???V???动态检测?静态检测????I??输出结果??f结來)??图3-1传统的机器学习检测JavaScript混淆恶意代码流程??该传统的基于机器学习的检测方法的一个明显不足就是若判断代码混淆,??需要进行动态检测,成本较高且耗时,导致模型整体效率不高。目前最好的做??法是将JavaScript混淆代码检测和JavaScript恶意代码检测分开,如图3-2所示,??首先对代码进行混淆检测,若判断混淆,则使用SpiderMonkey进行反混淆,然??13??
【参考文献】:
期刊论文
[1]面向drive-by-download攻击的检测方法[J]. 马洪亮,王伟,韩臻. 华中科技大学学报(自然科学版). 2016(03)
硕士论文
[1]JavaScript恶意代码检测技术研究[D]. 徐青.西南交通大学 2014
本文编号:3219387
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3219387.html
