收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于机器学习的恶意脚本代码检测方法的研究与实现

陈会兵  
【摘要】:随着互联网富媒体应用的快速发展,网页恶意脚本的传播速度不断加快,其种类也日益增多。随着脚本压缩和混淆加密等技术的兴起,恶意脚本检测的难度逐渐提高,严重威胁了互联网应用安全。 目前的恶意代码检测主要分为静态检测和动态检测两种方法。静态检测是针对恶意代码的文本特征进行分析,特征需由专家对已知恶意代码分析得到,具有识别快、准确率高等优势,但是无法识别未知恶意代码。动态检测是为恶意代码建立一个虚拟运行环境,根据运行情况识别恶意行为,能有效识别新的恶意代码,但是检测效率较低。本文专门针对JavaScript脚本,结合静态的脚本文本分析和动态的脚本机器码提取分析,应用机器学习算法进行研究,取得以下几方面成果: 1.提出了简单、快速识别混淆脚本的方法。一些恶意的JavaScript脚本利用混淆技术来隐藏自身特征,躲避以检测规则为基础的或以正则表达式为基础的杀毒软件的检测。对于混淆的脚本,目前还没有成熟的自动检测工具。本文在研究各类脚本混淆方法的基础上,采用N-gram方法,对脚本进行特征提取,使用K-最邻近(KNN)分类算法进行训练,能有效识别混淆脚本和非混淆脚本。检测脚本的混淆性对检测恶意脚本工作具有重要作用。 2.提出了检测混淆恶意脚本的方法。对于混淆的JavaScript脚本,其文本特征已被隐藏,难以用静态方法分析。本文使用V8引擎对混淆脚本动态编译,自动获取脚本执行的机器码,通过对机器码中Call序列的N-gram特征提取,再结合KNN方法进行分类训练,经实验分析证实,能有效识别混淆脚本是否恶意。 3.提出了检测未混淆恶意脚本的方法。使用静态方法分析JavaScript脚本特征,包括一些特征函数、系统对象调用、信息熵统计等,先获取脚本的特征向量,再使用支持向量机(SVM)机器学习算法,进行样本训练并建立优化的预测模型,经实验分析证实,能有效识别未混淆脚本是否恶意。 4.设计开发了一套基于Web的综合的恶意脚本代码检测原型系统,可在线快速检测JavaScript脚本是否混淆以及是否包含恶意代码。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 欧阳万斌;尹洪东;;基于核心网的恶意脚本识别与防范系统[J];微计算机信息;2010年06期
2 张昊;陶然;李志勇;杜华;;判断矩阵法在网页恶意脚本检测中的应用[J];兵工学报;2008年04期
3 ;Web安全问答[J];通信技术;2010年09期
4 ;教你几招对付恶意脚本病毒[J];计算机与网络;2004年23期
5 鲍欣龙,罗文坚,曹先彬,王煦法;可用于恶意脚本识别的注册表异常行为检测技术[J];计算机工程;2005年08期
6 越野苍狼;;门神当道 保我安全[J];电脑爱好者;2008年18期
7 李珂泂;宁超;;恶意脚本程序研究以及基于API HOOK的注册表监控技术[J];计算机应用;2009年12期
8 ;系统[J];电脑爱好者;2009年17期
9 呆瓜;给IE换上新“冬衣”吧[J];电脑爱好者;2005年03期
10 高凌琴;谈学生自己动手实现IE浏览器及修改[J];中国成人教育;2003年03期
11 ;[J];;年期
12 ;[J];;年期
13 ;[J];;年期
14 ;[J];;年期
15 ;[J];;年期
16 ;[J];;年期
17 ;[J];;年期
18 ;[J];;年期
19 ;[J];;年期
20 ;[J];;年期
中国重要会议论文全文数据库 前1条
1 张昊;陶然;李志勇;杜华;;网页恶意脚本检测方法研究[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
中国硕士学位论文全文数据库 前2条
1 孙飞帆;基于动态分析的网页恶意脚本检测技术研究[D];上海交通大学;2012年
2 陈会兵;基于机器学习的恶意脚本代码检测方法的研究与实现[D];浙江工业大学;2011年
中国重要报纸全文数据库 前5条
1 浦明辉;防范恶意修改IE五法[N];中国计算机报;2002年
2 安恒信息 刘志乐;深入解析Web 2.0应用安全[N];中国计算机报;2011年
3 ;身份低微带来安全性[N];计算机世界;2004年
4 龙哥;网络应用问答[N];中国计算机报;2004年
5 吕岩、鸣涧;防范网页黑手[N];中国电脑教育报;2002年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978