|
|||||
|
|
| 面向drive-by-download攻击的检测方法 | |
| 作者单位: | ;1.北京交通大学计算机与信息技术学院;2.石河子大学信息科学与技术学院 |
| 摘 要: | 针对隐藏在混淆JavaScript代码中的drive-by-download攻击很难被检测的问题,深入分析了混淆JavaScript代码以及drive-by-download攻击的静态和动态行为特征,设计并实现了只需正常行为数据进行训练、静态分析与动态分析相结合的异常检测原型系统.首先,静态分析以代码混淆度为特征,利用主成分分析(PCA)、最近邻(K-NN)和one-class支持向量机(SVM)三种算法检测出混淆JavaScript代码.其次,动态分析从JavaScript代码中获取的变量初值和变量终值,以变量初值和变量终值中提取的9个特征作为检测混淆代码中具有drive-by-download攻击的动态行为特征.从实际环境中收集了JavaScript正常与混淆恶意代码共7.046 3×104条.实验结果表明:选用PCA算法时,在误报率为0.1%的情况下,系统对混淆drive-by-download攻击能达到99.0%的检测率. |
| 关 键 词: | 异常检测 混淆 Web安全 动态分析 JavaScript恶意代码 drive-by-download攻击 |
Anomaly detection approach for drive-by-download attacks |
|
| Abstract: | |
| Keywords: | |
| 本文献已被 CNKI 等数据库收录! | |