基于分类器集成的网页恶意代码检测研究

摘要

在这个互联网飞速发展的时代，网络不仅丰富了人们娱乐生活，也在各个方面为人们做出了巨大贡献，改进了人们的生活。然而，网络在为人们的生活带来便捷的同时也带来了隐患。不法分子在网络的飞速发展中看到了可乘之机，利用恶意代码破坏网络安全，谋取经济利益。政府和国家对于恶意代码检测越来越重视。
　　恶意代码检测一般分为静态检测和动态检测两种方法。静态检测主要是基于规则和特征值匹配，提取网页特征。动态检测是通过在虚拟环境中运行恶意代码，根据恶意代码的行为提取特征，本文主要是针对JavaScript恶意代码，基于机器学习对恶意代码检测进行研究。本文的主要工作和成果如下:
　　1.本文对于混淆的JavaScript代码用V8引擎编译成机器码，并针对恶意代码特点将机器码中的操作数分类简化并与操作码混合。对处理后的机器码根据信息增益用Bi-Gram和Tri-Gram提取特征值。提出基于频率、距离和互信息的方法对样本处理找出断点，计算单个样本变长N-gram特征。经实验分析证实，处理后的操作数和操作码混合的特征提取能更细致的表达机器码行为，并且通过变长N-Gram统计的特征能避免将有效序列分开的问题，提升了分类效果。
　　2.在研究常见的分类算法和分类器集成算法的基础上，针对输入单一的问题，提出集成分类器输入优化，对输入的数据集用不同方式处理，使得内部多种分类器能针对性训练形成分类模型进行集成。并且通过加入次级分类器，将原本单层的分类器集成结构变成多层次分类器集成，引入权重，给每个分类器设定不同的权重，通过训练，找出效果最好的权值分配。实验证明经过多种优化的多层次加权分类器集成有更好的分类效果。
　　3.在以上算法研究的基础上，设计并开发了在线恶意代码检测系统。用户可以在线提交恶意脚本代码或者网站地址，系统可以快速的进行检测。用户可以提交检测报告和查看别人提交的检测报告。被系统检测为恶意的代码，系统会自动保存到数据库。

目录

声明

摘要

第1章 绪论

1．1 研究背景和意义

1．2 国内外研究现状

1．3 研究目标和内容

1．4 章节安排

第2章 机器学习和相关算法

2．1 机器学习

2．1．1 机器学习的背景与基础

2．1．2 机器学习的评估标准

2．2 相关算法

2．2．1 朴素贝叶斯

2．2．2 随机森林

2．2．3 决策树

2．2．4 逻辑回归

2．3 本章小结

第3章 混淆代码的变长N-Gram特征提取

3．2 混淆代码提取特征

3．3 机器码特征提取改进

3．3．1 混合机器码特征提取

3．3．2 变长N-Gram特征计算

3．4 算法实验分析

3．5 本章小结

第4章 基于分类器集成的恶意代码检测

4．1 常见分类器集成

4．2 多层次加权分类器集成

4．2．1 分类器输入优化

4．2．2 多层次分类器集成

4．2．3 分类器加权训练

4．3 算法实验分析

4．4 本章小结

第5章 在线恶意代码检测系统的设计与实现

5．1 系统设计

5．1．1 系统模块设计

5．1．2 系统功能

5．1．3 核心模块

5．2 系统测试

5．3 本章小结

第6章 结论与展望

6．1 工作总结

6．2 研究展望

参考文献

致谢

攻读学位期间参加的科研项目和成果