基于SVM模型的惡意網(wǎng)頁(yè)及PDF文檔檢測(cè)技術(shù)研究.pdf

1、互聯(lián)網(wǎng)在給人們提供更加方便、快捷的信息化服務(wù)的同時(shí),也由于其開(kāi)放性和脆弱性給黑客攻擊打開(kāi)了便利之門(mén)。當(dāng)前,在眾多的網(wǎng)絡(luò)攻擊中,最流行的攻擊方式是將腳本元素作為攻擊代碼的載體,利用瀏覽器及其插件中的漏洞,在客戶(hù)端隱蔽下載并執(zhí)行惡意程序,進(jìn)而對(duì)用戶(hù)實(shí)施惡意攻擊。這種典型的網(wǎng)頁(yè)木馬攻擊方式已經(jīng)對(duì)互聯(lián)網(wǎng)的安全構(gòu)成嚴(yán)重威脅。傳統(tǒng)基于靜態(tài)特征碼的反病毒引擎主要采用匹配法來(lái)檢測(cè)網(wǎng)頁(yè)木馬,這種方法的局限性在于無(wú)法檢測(cè)出經(jīng)過(guò)混淆的惡意代碼,并且靜態(tài)特征庫(kù)

2、也會(huì)隨著時(shí)間的推移變得異常龐大,最終導(dǎo)致檢測(cè)性能下降。因此,有必要研究一種能夠在不依賴(lài)靜態(tài)特征庫(kù)的情況下,實(shí)現(xiàn)對(duì)惡意混淆代碼的快速檢測(cè)技術(shù)。此外,隨著 PDF文檔的廣泛應(yīng)用,以及PDF閱讀軟件存在的諸多漏洞,使得PDF文檔也逐漸成為網(wǎng)頁(yè)木馬的傳播載體。因此,設(shè)計(jì)一種能夠同時(shí)檢測(cè)惡意Web頁(yè)面和惡意PDF文檔的混合樣本檢測(cè)引擎具有廣闊的市場(chǎng)前景。
　　基于以上出發(fā)點(diǎn),本論文通過(guò)對(duì)Web樣本和PDF樣本的結(jié)構(gòu)進(jìn)行分析,然后利用基于統(tǒng)計(jì)

3、學(xué)習(xí)理論的支持向量機(jī)技術(shù)和基于動(dòng)態(tài)運(yùn)行的shellcode仿真技術(shù),實(shí)現(xiàn)了一種能夠快速檢測(cè)出隱藏在Web網(wǎng)頁(yè)或PDF文檔中的惡意代碼的檢測(cè)引擎。論文的主要工作如下:
　　(1)對(duì)網(wǎng)頁(yè)木馬的攻擊與防御技術(shù)進(jìn)行全面歸納總結(jié)。闡述了網(wǎng)頁(yè)木馬的基本攻擊原理和攻擊手段;分析了針對(duì)不同環(huán)節(jié)(如:網(wǎng)站服務(wù)器端、中間代理端、客戶(hù)端)的防御技術(shù)及其優(yōu)缺點(diǎn)。
　　(2)采用支持向量機(jī)技術(shù)來(lái)檢測(cè)混淆的惡意網(wǎng)頁(yè)代碼,克服了傳統(tǒng)基于靜態(tài)特征碼檢測(cè)技術(shù)

4、的缺陷。通過(guò)對(duì)待測(cè)樣本的結(jié)構(gòu)進(jìn)行分析并提取其中的 JS代碼,并利用支持向量機(jī)技術(shù)對(duì)大量 JS特征字符進(jìn)行訓(xùn)練,獲得一個(gè)可以區(qū)分惡意樣本和正常樣本的特征分類(lèi)器,從而實(shí)現(xiàn)對(duì)惡意混淆代碼的快速檢測(cè)(分類(lèi))。
　　(3)通過(guò)對(duì)PDF文檔結(jié)構(gòu)中的流對(duì)象進(jìn)行靜態(tài)分析,提取其中嵌套的JS代碼,再利用支持向量機(jī)檢測(cè)技術(shù)對(duì)JS代碼檢測(cè),從而實(shí)現(xiàn)了對(duì)惡意PDF文檔的檢測(cè)。
　　(4)使用一種動(dòng)態(tài)模擬工具對(duì)惡意腳本中的Shellcode代碼進(jìn)行運(yùn)