【摘要】：當(dāng)前,基于Web的服務(wù)和應(yīng)用已經(jīng)廣泛普及,每天都會(huì)有大量的用戶訪問(wèn)Web頁(yè)面,Web客戶端安全也由此變得非常重要。作為Web前端開發(fā)事實(shí)上的標(biāo)準(zhǔn)語(yǔ)言,JavaScript既為用戶提供了豐富便利的服務(wù),也為用戶終端帶來(lái)了很多安全風(fēng)險(xiǎn)。若是Web客戶端應(yīng)用程序存在用戶不曾預(yù)知的漏洞,或者不知情用戶在訪問(wèn)惡意頁(yè)面后操作不當(dāng),惡意網(wǎng)頁(yè)中的JavaScript代碼就會(huì)嚴(yán)重威脅客戶端安全�；ヂ�(lián)網(wǎng)上時(shí)刻都活躍著大量的惡意網(wǎng)頁(yè),每天都會(huì)產(chǎn)生大量新的惡意網(wǎng)頁(yè),因此,針對(duì)惡意網(wǎng)頁(yè)進(jìn)行檢測(cè)一直都是安全研究者關(guān)注的熱點(diǎn)問(wèn)題。本文在總結(jié)現(xiàn)有研究成果的基礎(chǔ)上,先從攻擊者的角度介紹了現(xiàn)有的一些攻擊技術(shù)和方法,分析了相關(guān)攻擊技術(shù)的特點(diǎn),總結(jié)出具有不同攻擊行為惡意JavaScript代碼的相關(guān)特征。再?gòu)姆雷o(hù)者的角度介紹了相關(guān)的檢測(cè)方法,分析了各種檢測(cè)方法的優(yōu)缺點(diǎn),重點(diǎn)介紹并分析了異常檢測(cè)方法的特點(diǎn),尤其是半監(jiān)督異常檢測(cè)方法。從數(shù)據(jù)收集和異常檢測(cè)的角度分析了半監(jiān)督異常檢測(cè)方法的優(yōu)點(diǎn),據(jù)此給出了基于JavaScript對(duì)惡意網(wǎng)頁(yè)進(jìn)行異常檢測(cè)的基本框架。基于此框架,從輕量級(jí)惡意網(wǎng)頁(yè)異常檢測(cè)、混淆drive-by-download攻擊檢測(cè)和混淆惡意JavaScript代碼自動(dòng)化反混淆三個(gè)方面提出檢測(cè)方法并實(shí)現(xiàn)檢測(cè)原型系統(tǒng),主要研究?jī)?nèi)容和創(chuàng)新點(diǎn)如下:(1)提出了一種輕量級(jí)的惡意網(wǎng)頁(yè)異常檢測(cè)方法。其核心思想是將大量繁雜無(wú)規(guī)律的JavaScript代碼用少量特征詞代替,并以特征詞在頁(yè)面代碼中的分布作為檢測(cè)特征。這極大的減少了數(shù)據(jù)特征維度,并保留了代碼本身的執(zhí)行流程、邏輯關(guān)系和信息熵。檢測(cè)方法只使用靜態(tài)分析,分為數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、特征提取、檢測(cè)器等幾個(gè)部分。數(shù)據(jù)收集是抓取網(wǎng)頁(yè)內(nèi)容,數(shù)據(jù)預(yù)處理是將JavaScript代碼從頁(yè)面中分離出來(lái)后,再對(duì)代碼進(jìn)行詞法解析。特征提取是以代碼詞法解析后的特征詞分布為特征。檢測(cè)器中使用的訓(xùn)練數(shù)據(jù)只須正常行為數(shù)據(jù)即可,通過(guò)主成分分析(PCA)、最近鄰(K-NN)和單分類支持向量機(jī)(One-class SVM)三種算法檢測(cè)惡意網(wǎng)頁(yè)。從實(shí)際環(huán)境中收集了 JavaScript正常與惡意代碼共20996條,實(shí)驗(yàn)結(jié)果表明,檢測(cè)系統(tǒng)在1%誤報(bào)率的情況下能達(dá)到90%的檢測(cè)率,同時(shí)檢測(cè)系統(tǒng)每秒平均能有效檢測(cè)250個(gè)網(wǎng)頁(yè),達(dá)到了輕量級(jí)檢測(cè)之目的。(2)提出了一種檢測(cè)混淆drive-by-download攻擊的方法。檢測(cè)方法將靜態(tài)分析和動(dòng)態(tài)分析有機(jī)的結(jié)合起來(lái),利用靜態(tài)分析完成輕量級(jí)檢測(cè)靜態(tài)混淆JavaScript代碼。根據(jù)代碼變量值的變化提出了 9個(gè)動(dòng)態(tài)行為特征,提出“變量劫持”技術(shù)并借鑒狀態(tài)機(jī)模型對(duì)這些動(dòng)態(tài)特征建模,使動(dòng)態(tài)分析過(guò)程中能夠即時(shí)檢測(cè)混淆代碼中的攻擊行為,并具有一定的反混淆作用。具體而言,在靜態(tài)分析中,假設(shè)正常頁(yè)面不使用混淆JavaScript代碼,即便使用也是極少。這樣只須對(duì)正常頁(yè)面中代碼進(jìn)行訓(xùn)練即可,以擴(kuò)展后的特征詞分布為特征,以測(cè)試數(shù)據(jù)與訓(xùn)練數(shù)據(jù)的偏移距離作為代碼是否混淆依據(jù),若偏移距離大于設(shè)定的閾值,則認(rèn)為是混淆代碼。在動(dòng)態(tài)分析中,以從JavaScript代碼中獲取的變量初值和變量終值提取的9個(gè)動(dòng)態(tài)特征作為檢測(cè)混淆代碼具有drive-by-download攻擊行為的特征,結(jié)合“變量劫持”技術(shù)和變量狀態(tài)模型檢測(cè)具體攻擊行為和進(jìn)行反混淆。從實(shí)際環(huán)境中收集了JavaScript正常與惡意代碼共70463條,實(shí)驗(yàn)結(jié)果表明,當(dāng)選用PCA算法時(shí),檢測(cè)系統(tǒng)使用的靜態(tài)分析方法對(duì)混淆drive-by-download攻擊的檢測(cè)在誤報(bào)率為0.1%的情況下能達(dá)到99%的檢測(cè)率。提出的動(dòng)態(tài)分析方法能夠即時(shí)檢測(cè)出80%以上具有drive-by-download攻擊行為的混淆代碼,能夠提供被檢測(cè)出惡意代碼的具體攻擊行為信息。(3)提出并實(shí)現(xiàn)了一種檢測(cè)混淆并能自動(dòng)化反混淆JavaScript代碼的方法和一種反混淆效果度量方法。通過(guò)對(duì)9種在線混淆工具和多種混淆技術(shù)的深入分析,總結(jié)出混淆JavaScript代碼的普遍性外部靜態(tài)行為特征和內(nèi)部動(dòng)態(tài)行為特征。檢測(cè)系統(tǒng)前端通過(guò)靜態(tài)分析以帶權(quán)重的擴(kuò)展特征詞分布為檢測(cè)特征,權(quán)重的計(jì)算方法是從訓(xùn)練樣本的整體進(jìn)行考慮,計(jì)算依據(jù)為:包含某個(gè)特征詞樣本數(shù)量較多,則該特征詞權(quán)重值應(yīng)該相應(yīng)較大,采用One-Class SVM、K-NN和PCA算法檢測(cè)混淆代碼。檢測(cè)系統(tǒng)后端通過(guò)動(dòng)態(tài)分析利用抽象語(yǔ)法樹AST(Abstract Syntax Tree)進(jìn)行反混淆。動(dòng)態(tài)分析分為兩個(gè)步驟:首先遍歷混淆代碼抽象語(yǔ)法樹AST的節(jié)點(diǎn);其次根據(jù)節(jié)點(diǎn)類型跟蹤并分析節(jié)點(diǎn)上的相關(guān)變量,利用相關(guān)的變量終值進(jìn)行反混淆。通過(guò)對(duì)混淆操作和反混淆操作的形式化定義,提出了以編輯距離、Jaccard相似度和文本特征相似度為度量值的評(píng)價(jià)模型,達(dá)到了準(zhǔn)確和客觀的評(píng)價(jià)反混淆效果之目的。從實(shí)際環(huán)境中收集了 JavaScript正常與惡意代碼共80574條,實(shí)驗(yàn)結(jié)果表明,檢測(cè)效果較好,尤其在選用PCA算法時(shí),在誤報(bào)率為0.1%時(shí),系統(tǒng)對(duì)混淆惡意JavaScript代碼能達(dá)到99.99%的檢測(cè)率。與此同時(shí),本文提出的反混淆方法能自動(dòng)化地對(duì)超過(guò)80%的混淆代碼進(jìn)行源碼再現(xiàn),并實(shí)現(xiàn)了對(duì)這些混淆代碼的完全反混淆。另外,用本文提出的反混淆效果度量方法計(jì)算反混淆后代碼與混淆前代碼的相似度,所得值與實(shí)際的反混淆結(jié)果保持一致,說(shuō)明提出的反混淆效果度量方法是一種有效的度量方法。
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08
【圖文】：

圖２－１瀏覽器工作原理及內(nèi)部結(jié)構(gòu)逡逑Ｆｉｇ．邋２－１邋Ｗｏｒｋｉｎｇ邋ｐｒｉｎｃｉｐｌｅ邋ａｎｄ邋ｉｎｔｅｒｎａｌ邋ｓｔｒｕｃｔｕｒｅ邋ｏｆ邋ｂｒｏｗｓｅｒ逡逑商務(wù)的快速興起和廣泛應(yīng)用，為了方便用戶登錄購(gòu)物網(wǎng)。一

其中＂表示質(zhì)心，同樣設(shè)ＴＶ為事先設(shè)定的某個(gè)閾值，逡逑若則認(rèn)為ｒ是異常行為數(shù)據(jù)，反之則認(rèn)為ｒ是正常行為數(shù)據(jù)。逡逑一個(gè)常規(guī)的基于客戶端的惡意網(wǎng)頁(yè)檢測(cè)系統(tǒng)基本框架如圖２－２所示。對(duì)于一般逡逑的用戶而言，檢測(cè)系統(tǒng)只能部署在客戶端上，因?yàn)槠胀ǖ挠脩舨⒉痪邆鋵z測(cè)系逡逑統(tǒng)部署在服務(wù)器或網(wǎng)關(guān)上的能力。當(dāng)檢測(cè)系統(tǒng)認(rèn)為用戶當(dāng)前訪問(wèn)的頁(yè)面為正常頁(yè)逡逑面時(shí)就讓用戶繼續(xù)訪問(wèn)，當(dāng)認(rèn)為頁(yè)面為異常頁(yè)面時(shí)，檢測(cè)系統(tǒng)應(yīng)立即阻止用戶對(duì)逡逑該頁(yè)面的訪問(wèn)。逡逑：邐邐邋邐１邋異常邐／邐－Ｊ邋Ｉ逡逑＾邐［ｉ１｛求邋邋邋；邐Ｘ邋？邐ｊ逡逑＾邐洲練？測(cè)試！丨：常邐：邋Ｉ邋：逡逑邐邋邋邋邋｝？｜｜邋邐邋邐一；：邋￣３邋＼逡逑參邐ｊ逡逑丨．一…邐…一邐客戶端邐ｊ逡逑ＷｅｂｌＫ邋務(wù)器邐ｊ邐邐邐邐ｊ逡逑圖２－２客戶端異常檢測(cè)系統(tǒng)基本框架逡逑Ｆｉｇ．邋２－２邋Ｂａｓｉｃ邋ｆｒａｍｅｗｏｒｋ邋ｏｆ邋ｃｌｉｅｎｔ邋ａｎｏｍａｌｙ邋ｄｅｔｅｃｔｉｏｎ邋ｓｙｓｔｅｍ逡逑２４逡逑

根據(jù)對(duì)ＪａｖａＳｃｒｉｐｔ代碼的分析和特征提取，我們?cè)O(shè)計(jì)的輕量級(jí)惡意網(wǎng)頁(yè)檢測(cè)方逡逑法主要由數(shù)據(jù)收集、靜態(tài)分析、異常檢測(cè)、結(jié)果輸出與分析等部分組成。檢測(cè)系逡逑統(tǒng)框架如圖３－６所示。逡逑數(shù)據(jù)收集：由抓捕器、代碼分離器和ＪａｖａＳｃｒｉｐｔ詞法解析器組成。逡逑■抓捕器的功能是獲取被訪問(wèn)的網(wǎng)頁(yè)源代碼。代碼分離器是從頁(yè)面中的ＨＴＭＬ逡逑源代碼中提取出全部ＪａｖａＳｃｒｉｐｔ源代碼。詞法解析器是將ＪａｖａＳｃｒｉｐｔ源代碼根據(jù)詞逡逑法規(guī)范和特征詞生成算法對(duì)ＪａｖａＳｃｒｉｐｔ代碼進(jìn)行詞法解析，使代碼只用特征詞就可逡逑完全表不。逡逑靜態(tài)分析：由特征詞唯一化和特征提取兩個(gè)模塊組成。逡逑特征詞唯一化的功能是記錄每個(gè)特征詞出現(xiàn)的數(shù)量。特征提取是按照?qǐng)D３－５逡逑所示的特征提取過(guò)程生成特征矩陣。逡逑建模及檢測(cè)：由檢測(cè)器組成。逡逑檢測(cè)器使用只用正常行為數(shù)據(jù)進(jìn)行訓(xùn)練的異常檢測(cè)方法來(lái)檢測(cè)ＪａｖａＳｃｒｉｐｔ代逡逑碼。其功能是通過(guò)對(duì)訓(xùn)練數(shù)據(jù)的學(xué)習(xí)

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 楊光;;刪除惡意網(wǎng)頁(yè)對(duì)系統(tǒng)修改的幾個(gè)方法[J];計(jì)算機(jī)與網(wǎng)絡(luò);2014年08期

2 韓豐海;查看惡意網(wǎng)頁(yè)有妙招[J];電腦應(yīng)用文萃;2005年09期

3 ;追擊連環(huán)惡意網(wǎng)頁(yè)病毒[J];計(jì)算機(jī)與網(wǎng)絡(luò);2004年09期

4 ;輕松對(duì)付惡意網(wǎng)頁(yè)[J];中國(guó)會(huì)計(jì)電算化;2003年07期

5 ycx;對(duì)付惡意網(wǎng)頁(yè)三法[J];中國(guó)電子與網(wǎng)絡(luò)出版;2003年11期

6 徐海斌;;走出惡意網(wǎng)頁(yè)的沼澤地[J];電腦應(yīng)用文萃;2002年07期

7 冰河洗劍;;斬?cái)鄲阂饩W(wǎng)頁(yè)之手[J];電腦迷;2007年18期

8 CLX;;三招徹底防范惡意網(wǎng)頁(yè)[J];電腦迷;2005年12期

9 李強(qiáng) ,昊蟲蟲;清除惡意網(wǎng)頁(yè)病毒又兩招[J];電腦愛(ài)好者;2004年20期

10 風(fēng)日;;惡意網(wǎng)頁(yè)七宗罪[J];電腦采購(gòu)周刊;2002年27期

相關(guān)會(huì)議論文 前3條

1 孫靖超;;一種基于機(jī)器學(xué)習(xí)的網(wǎng)頁(yè)分類技術(shù)[A];第32次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2017年

2 胡永濤;姚靜晶;趙恒立;;國(guó)內(nèi)政府網(wǎng)站安全狀況主動(dòng)調(diào)查[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷）[C];2009年

3 唐雅茜;朱海波;黎玲;;破解惡意網(wǎng)頁(yè)十大招[A];2008年廣西氣象學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 cdrom;惡意網(wǎng)頁(yè)幾時(shí)休[N];中國(guó)電腦教育報(bào);2002年

2 徐海斌;惡意網(wǎng)頁(yè)我們這樣對(duì)付它[N];中國(guó)電腦教育報(bào);2002年

3 何斌;巧用“3721”屏蔽惡意網(wǎng)頁(yè)[N];中國(guó)電腦教育報(bào);2003年

4 ;對(duì)付惡意網(wǎng)頁(yè)[N];中國(guó)電腦教育報(bào);2003年

5 徐海斌;以牙還牙 巧治惡意網(wǎng)頁(yè)病毒[N];中國(guó)電腦教育報(bào);2002年

6 王書杰;追擊連環(huán)惡意網(wǎng)頁(yè)病毒[N];中國(guó)電腦教育報(bào);2004年

7 邊歆;惡意網(wǎng)頁(yè)每天增加5000個(gè)[N];網(wǎng)絡(luò)世界;2008年

8 ;“極限女孩”惡意網(wǎng)頁(yè)病毒[N];中國(guó)財(cái)經(jīng)報(bào);2002年

9 天津 Kingstar;菜鳥VS惡意網(wǎng)頁(yè)[N];電腦報(bào);2003年

10 王紹清;和惡意網(wǎng)頁(yè)代碼拜拜[N];中國(guó)電腦教育報(bào);2002年

相關(guān)博士學(xué)位論文 前2條

1 馬洪亮;基于JavaScript的惡意網(wǎng)頁(yè)異常檢測(cè)方法研究[D];北京交通大學(xué);2018年

2 沙泓州;面向大規(guī)模網(wǎng)絡(luò)流量的URL實(shí)時(shí)分類關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 皇甫群澤;惡意網(wǎng)頁(yè)檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2018年

2 王維光;基于分類算法的惡意網(wǎng)頁(yè)檢測(cè)技術(shù)研究[D];北京郵電大學(xué);2015年

3 羅劍;數(shù)據(jù)挖掘在惡意網(wǎng)頁(yè)動(dòng)態(tài)檢測(cè)中的應(yīng)用研究[D];上海交通大學(xué);2012年

4 李敏;惡意網(wǎng)頁(yè)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2016年

5 姚楠;基于客戶端惡意網(wǎng)頁(yè)收集與分析系統(tǒng)的安全技術(shù)研究[D];武漢理工大學(xué);2014年

6 王松;基于學(xué)習(xí)的惡意網(wǎng)頁(yè)智能檢測(cè)系統(tǒng)[D];南京理工大學(xué);2011年

7 張亮;面向Linux的瀏覽器惡意網(wǎng)頁(yè)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2016年

8 郭揚(yáng)富;基于搜索算法的Web安全[D];福建師范大學(xué);2011年

9 周浩;基于決策樹的搜索引擎惡意網(wǎng)頁(yè)檢測(cè)研究與實(shí)現(xiàn)[D];湖南大學(xué);2013年

10 龐玉敏;惡意網(wǎng)頁(yè)智能檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

本文編號(hào)：2801495