JavaScript是交互式網(wǎng)站開發(fā)廣泛使用的一種技術(shù),但由于其代碼不進(jìn)行預(yù)編譯而直接被用戶瀏覽器解釋的特性,惡意的JavaScript容易被當(dāng)作一種基于網(wǎng)頁的攻擊手段。而且為了逃避傳統(tǒng)的基于靜態(tài)特征匹配的檢測系統(tǒng)的捕獲,攻擊者往往將惡意的JavaScript代碼進(jìn)行混淆操作,所以如何有效準(zhǔn)確地識(shí)別出混淆惡意的JavaScript代碼變得尤為重要。本文利用信息論測度知識(shí)來檢測JavaScript混淆代碼,可以捕獲基于統(tǒng)計(jì)特征檢測器的逃逸攻擊,并對(duì)混淆代碼進(jìn)行反混淆,最后利用機(jī)器學(xué)習(xí)知識(shí)來檢測JavaScript惡意代碼。具體工作如下:1.通過對(duì)JavaScript代碼語法分析,改進(jìn)了基于統(tǒng)計(jì)特征的JavaScript混淆代碼檢測模型。改進(jìn)后的模型對(duì)JavaScript代碼進(jìn)行N-gram分詞并計(jì)算相應(yīng)對(duì)象的頻率,然后計(jì)算信息論測度值,最后通過One-class SVM單分類器進(jìn)行分類。實(shí)驗(yàn)表明,改進(jìn)的方法達(dá)到了更好的檢測效果,并且驗(yàn)證了 Bigram分詞比Unigram分詞達(dá)到的效果更好。2.通過對(duì)基于統(tǒng)計(jì)特征的JavaScript代碼檢測模型的分析,構(gòu)造了針對(duì)該模型的逃逸攻擊,并提出... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：68 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖１－１?２０１３年６月至２０１８年６月中國網(wǎng)站數(shù)量統(tǒng)計(jì)圖⑴??Ｉ２】

３．１目前ＪａｖａＳｃｒｉｐｔ混淆代碼檢測存在的問題??目前對(duì)于ＪａｖａＳｃｒｉｐｔ混淆代碼的檢測，大多數(shù)是和惡意代碼檢測結(jié)合起來??的，傳統(tǒng)的基于機(jī)器學(xué)習(xí)的ＪａｖａＳｃｒｉｐｔ混淆惡意代碼檢測，如圖３－１所示，其一??般流程是：先對(duì)代碼進(jìn)行混淆檢測，若判斷代碼混淆，則提取代碼行為特征進(jìn)??行動(dòng)態(tài)執(zhí)行分析；若判斷代碼不是混淆，則使用提取文本特征的靜態(tài)檢測方法。??ｆ開始）??、、?－－???Ｖ???輸入ｊａｖａＳｃｒｉｐｔ代碼??Ｙ??＜、：＼浞渚判斷＞一一］??是?Ｉ?行???ｙ???ｙ???｜提取代碼行為特征?Ｉ?提取文本特征???Ｖ???Ｖ???動(dòng)態(tài)檢測?靜態(tài)檢測??？?Ｉ??輸出結(jié)果??ｆ結(jié)來）??圖３－１傳統(tǒng)的機(jī)器學(xué)習(xí)檢測ＪａｖａＳｃｒｉｐｔ混淆惡意代碼流程??該傳統(tǒng)的基于機(jī)器學(xué)習(xí)的檢測方法的一個(gè)明顯不足就是若判斷代碼混淆，??需要進(jìn)行動(dòng)態(tài)檢測，成本較高且耗時(shí)，導(dǎo)致模型整體效率不高。目前最好的做??法是將ＪａｖａＳｃｒｉｐｔ混淆代碼檢測和ＪａｖａＳｃｒｉｐｔ惡意代碼檢測分開，如圖３－２所示，??首先對(duì)代碼進(jìn)行混淆檢測，若判斷混淆，則使用ＳｐｉｄｅｒＭｏｎｋｅｙ進(jìn)行反混淆，然??１３??

３．１目前ＪａｖａＳｃｒｉｐｔ混淆代碼檢測存在的問題??目前對(duì)于ＪａｖａＳｃｒｉｐｔ混淆代碼的檢測，大多數(shù)是和惡意代碼檢測結(jié)合起來??的，傳統(tǒng)的基于機(jī)器學(xué)習(xí)的ＪａｖａＳｃｒｉｐｔ混淆惡意代碼檢測，如圖３－１所示，其一??般流程是：先對(duì)代碼進(jìn)行混淆檢測，若判斷代碼混淆，則提取代碼行為特征進(jìn)??行動(dòng)態(tài)執(zhí)行分析；若判斷代碼不是混淆，則使用提取文本特征的靜態(tài)檢測方法。??ｆ開始）??、、?－－???Ｖ???輸入ｊａｖａＳｃｒｉｐｔ代碼??Ｙ??＜、：＼浞渚判斷＞一一］??是?Ｉ?行???ｙ???ｙ???｜提取代碼行為特征?Ｉ?提取文本特征???Ｖ???Ｖ???動(dòng)態(tài)檢測?靜態(tài)檢測??？?Ｉ??輸出結(jié)果??ｆ結(jié)來）??圖３－１傳統(tǒng)的機(jī)器學(xué)習(xí)檢測ＪａｖａＳｃｒｉｐｔ混淆惡意代碼流程??該傳統(tǒng)的基于機(jī)器學(xué)習(xí)的檢測方法的一個(gè)明顯不足就是若判斷代碼混淆，??需要進(jìn)行動(dòng)態(tài)檢測，成本較高且耗時(shí)，導(dǎo)致模型整體效率不高。目前最好的做??法是將ＪａｖａＳｃｒｉｐｔ混淆代碼檢測和ＪａｖａＳｃｒｉｐｔ惡意代碼檢測分開，如圖３－２所示，??首先對(duì)代碼進(jìn)行混淆檢測，若判斷混淆，則使用ＳｐｉｄｅｒＭｏｎｋｅｙ進(jìn)行反混淆，然??１３??

【參考文獻(xiàn)】：
期刊論文
[1]面向drive-by-download攻擊的檢測方法[J]. 馬洪亮,王偉,韓臻.  華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版). 2016(03)

碩士論文
[1]JavaScript惡意代碼檢測技術(shù)研究[D]. 徐青.西南交通大學(xué) 2014



本文編號(hào)：3219387