基于动态行为分析的网页木马检测方法
网页木马是一种在网页中插入攻击脚本,利用浏览器及其插件中的漏洞,使受害者的系统静默地下载并安装恶意程序的攻击形式.结合动态程序分析和机器学习方法,提出了基于动态行为分析的网页木马检测方法.首先,针对网页木马攻击中的着陆页上的攻击脚本获取行为,监控动态执行函数执行,包括动态生成函数执行、脚本插入、页面插入和URL跳转,并根据一套规则提取这些行为,此外,提取与其相关的字符串操作记录作为特征;其次,针对利用堆恶意操作注入shellcode的行为,提出堆危险指标作为特征;最后,从Alexa和VirusShare收集了500个网页样本作为数据集,用机器学习方法训练分类模型.实验结果表明,与现有方法相比,该方法具有准确率高(96.94%)、可有效地对抗代码混淆的干扰(较低的误报率6.1%和漏报率1.3%)等优点.
网页木马、堆恶意操作、代码混淆、动态分析、机器学习
29
TP311(计算技术、计算机技术)
国家重点基础研究发展计划9732014CB340702;国家自然科学基金61272080,91418202,61403187National Program on Key Basic Research Project of China 9732014CB340702;National Natural Science Foundation of China61272080,91418202,61403187
2018-06-19(万方平台首次上网日期,不代表论文的发表时间)
共12页
1410-1421
