基于数据挖掘的网页恶意代码检测技术研究

摘要

Web应用的日益增多,导致网页攻击日益猖獗,越来越多的恶意软件利用网页作为其传播载体,传播过程也越来越隐蔽,对用户造成了巨大的威胁。研究如何准确有效地检测网页恶意代码具有重要的意义。传统的基于网页内容或网址的静态检测方法由于误报率高而缺乏实际应用价值,模拟真实运行环境的动态检测方法则因资源消耗大而难以获得较高的性能。
　　基于数据挖掘的网页恶意代码检测技术,通过数据挖掘的方法生成一种漏报率较低的分类模型,希望通过将该分类模型与动态检测方法相结合,达到低误报率同时低漏报率的检测目标。通过对大量网页恶意代码的研究,分类型总结了网页恶意代码的特征。针对这些特征,采用了相应的特征提取技术:采用HTMLParser工具包提取HTML特征,采用正则表达式字符串匹配技术初步提取JavaScript特征,对经过混淆的JavaScript代码采用扩展的Rhino引擎进行特征的解析提取。由于Rhino引擎只提供了对核心JavaScript功能的支持,详细研究了Rhino引擎的扩展技术。分类模型生成过程中,研究对比了朴素贝叶斯算法、决策树算法以及SVM算法的分类结果,同时研究了漏报率和误报率的调整,HTML特征与JavaScript特征分别进行分类所得结果的对比等。
　　研究所得分类模型已应用于实际的检测系统,取得了良好的检测效果,针对检测过程中发现的问题,后续还将继续进行研究改进。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1研究背景

1.2国内外研究现状

1.3主要研究内容

1.4论文结构

2 网页恶意代码特征分析

2.1网页恶意代码概述

2.2跳转特征分析

2.3环境准备阶段特征分析

2.4攻击阶段特征分析

2.5混淆特征分析

2.6页面整体特征分析

2.7本章小结

3 网页恶意代码特征提取技术研究

3.1 HTML网页解析技术研究

3.2字符串匹配技术研究

3.3 JavaScript引擎解析技术研究

3.4基于JavaScript模拟环境的特征提取

3.5本章小结

4 基于数据挖掘的检测方法研究

4.1分类算法研究

4.2数据挖掘分类模型研究

4.3 分类结果分析

4.4本章小结

5 总结与展望

5.1总结

5.2展望

致谢

参考文献

附录 1 攻读硕士期间发表的论文