基于SVM模型的惡意網(wǎng)頁及PDF文檔檢測技術(shù)研究.pdf

1、互聯(lián)網(wǎng)在給人們提供更加方便、快捷的信息化服務(wù)的同時,也由于其開放性和脆弱性給黑客攻擊打開了便利之門。當(dāng)前,在眾多的網(wǎng)絡(luò)攻擊中,最流行的攻擊方式是將腳本元素作為攻擊代碼的載體,利用瀏覽器及其插件中的漏洞,在客戶端隱蔽下載并執(zhí)行惡意程序,進(jìn)而對用戶實施惡意攻擊。這種典型的網(wǎng)頁木馬攻擊方式已經(jīng)對互聯(lián)網(wǎng)的安全構(gòu)成嚴(yán)重威脅。傳統(tǒng)基于靜態(tài)特征碼的反病毒引擎主要采用匹配法來檢測網(wǎng)頁木馬,這種方法的局限性在于無法檢測出經(jīng)過混淆的惡意代碼,并且靜態(tài)特征庫

2、也會隨著時間的推移變得異常龐大,最終導(dǎo)致檢測性能下降。因此,有必要研究一種能夠在不依賴靜態(tài)特征庫的情況下,實現(xiàn)對惡意混淆代碼的快速檢測技術(shù)。此外,隨著 PDF文檔的廣泛應(yīng)用,以及PDF閱讀軟件存在的諸多漏洞,使得PDF文檔也逐漸成為網(wǎng)頁木馬的傳播載體。因此,設(shè)計一種能夠同時檢測惡意Web頁面和惡意PDF文檔的混合樣本檢測引擎具有廣闊的市場前景。
　　基于以上出發(fā)點,本論文通過對Web樣本和PDF樣本的結(jié)構(gòu)進(jìn)行分析,然后利用基于統(tǒng)計

3、學(xué)習(xí)理論的支持向量機技術(shù)和基于動態(tài)運行的shellcode仿真技術(shù),實現(xiàn)了一種能夠快速檢測出隱藏在Web網(wǎng)頁或PDF文檔中的惡意代碼的檢測引擎。論文的主要工作如下:
　　(1)對網(wǎng)頁木馬的攻擊與防御技術(shù)進(jìn)行全面歸納總結(jié)。闡述了網(wǎng)頁木馬的基本攻擊原理和攻擊手段;分析了針對不同環(huán)節(jié)(如:網(wǎng)站服務(wù)器端、中間代理端、客戶端)的防御技術(shù)及其優(yōu)缺點。
　　(2)采用支持向量機技術(shù)來檢測混淆的惡意網(wǎng)頁代碼,克服了傳統(tǒng)基于靜態(tài)特征碼檢測技術(shù)

4、的缺陷。通過對待測樣本的結(jié)構(gòu)進(jìn)行分析并提取其中的 JS代碼,并利用支持向量機技術(shù)對大量 JS特征字符進(jìn)行訓(xùn)練,獲得一個可以區(qū)分惡意樣本和正常樣本的特征分類器,從而實現(xiàn)對惡意混淆代碼的快速檢測(分類)。
　　(3)通過對PDF文檔結(jié)構(gòu)中的流對象進(jìn)行靜態(tài)分析,提取其中嵌套的JS代碼,再利用支持向量機檢測技術(shù)對JS代碼檢測,從而實現(xiàn)了對惡意PDF文檔的檢測。
　　(4)使用一種動態(tài)模擬工具對惡意腳本中的Shellcode代碼進(jìn)行運