面向drive-by-download攻击的检测方法

作     者：马洪亮 王伟 韩臻 Ma Hongliang;Wang Wei;Han Zhen

作者机构：北京交通大学计算机与信息技术学院北京100044 石河子大学信息科学与技术学院新疆石河子832000 

基　　金：教育部高校创新团队项目(IRT201206) 教育部高等学校博士学科点专项科研基金资助项目(20120009110007 20120009120010) 教育部留学回国人员科研启动基金资助项目(K14C300020) 中央高校基本科研业务费专项资金资助项目(2015JBM025) 上海市信息安全综合管理技术研究重点实验室资助项目 

出 版 物：《华中科技大学学报（自然科学版）》 (Journal of Huazhong University of Science and Technology(Natural Science Edition))

年 卷 期：2016年第44卷第3期

页      码：6-11页

摘      要：针对隐藏在混淆JavaScript代码中的drive-by-download攻击很难被检测的问题,深入分析了混淆JavaScript代码以及drive-by-download攻击的静态和动态行为特征,设计并实现了只需正常行为数据进行训练、静态分析与动态分析相结合的异常检测原型系统.首先,静态分析以代码混淆度为特征,利用主成分分析(PCA)、最近邻(K-NN)和one-class支持向量机(SVM)三种算法检测出混淆JavaScript代码.其次,动态分析从JavaScript代码中获取的变量初值和变量终值,以变量初值和变量终值中提取的9个特征作为检测混淆代码中具有drive-by-download攻击的动态行为特征.从实际环境中收集了JavaScript正常与混淆恶意代码共7.046 3×104条.实验结果表明:选用PCA算法时,在误报率为0.1%的情况下,系统对混淆drive-by-download攻击能达到99.0%的检测率.

主 题 词：异常检测 混淆 Web安全 动态分析 JavaScript恶意代码 drive-by-download攻击 

学科分类：12[管理学] 1201[管理学-管理科学与工程类] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.13245/j.hust.160302

馆 藏 号：203874746...