基于數(shù)據(jù)挖掘和機器學(xué)習(xí)的木馬檢測系統(tǒng)設(shè)計與實現(xiàn).pdf

1、計算機網(wǎng)絡(luò)正在改變著人們的生活方式,但由于網(wǎng)絡(luò)存在開放性、互聯(lián)性等特征,致使網(wǎng)絡(luò)容易導(dǎo)致不法分子的攻擊,這使得網(wǎng)絡(luò)安全吸引著越來越多人的關(guān)注。其中,網(wǎng)頁木馬已經(jīng)稱為網(wǎng)絡(luò)安全的頭號殺手,病毒傳播、非法入侵、服務(wù)器癱瘓等安全問題都是以木馬為載體所引起的。傳統(tǒng)的基于模式匹配的檢測方法是當(dāng)前安全檢測系統(tǒng)使用最多的方法,它主要依賴于人工分析提取,不能夠預(yù)測未知的惡意代碼,對于混淆或變形的惡意代碼卻無能為力。數(shù)據(jù)挖掘和機器學(xué)習(xí)是當(dāng)前計算機熱門研究領(lǐng)

2、域,結(jié)合這兩種技術(shù)對網(wǎng)頁木馬進(jìn)行檢測是未來的研究發(fā)展趨勢。本文正是基于以上問題,在深入分析了數(shù)據(jù)挖掘和機器學(xué)習(xí)的原理基礎(chǔ)上,設(shè)計并實現(xiàn)了針對惡意JavaScript腳本的網(wǎng)頁木馬檢測系統(tǒng)。論文的主要工作內(nèi)容包括:
　　1.首先,介紹了數(shù)據(jù)挖掘和機器學(xué)習(xí)技術(shù)的主要原理和理論知識;然后概括了目前國內(nèi)外已經(jīng)出現(xiàn)的網(wǎng)頁木馬的主流檢測算法,并分析了各算法具有的優(yōu)缺點。
　　2.按照軟件工程的原理與思想,分析木馬檢測系統(tǒng)的主要功能需求、

3、總體框架、工作流程等。最后,采用VC++6.0 MFC、mysql等工具與技術(shù)設(shè)計并實現(xiàn)了網(wǎng)頁木馬檢測的原型系統(tǒng)。該系統(tǒng)主要包括了URL黑名單、網(wǎng)絡(luò)爬蟲、特征提取、BP集成神經(jīng)網(wǎng)絡(luò)分類器等功能子模塊。
　　3.目前,大部分網(wǎng)頁木馬都會在頁面中嵌入惡意 JavaScript腳本代碼。因此本文重點針對基于惡意JavaScript腳本的網(wǎng)頁木馬進(jìn)行檢測研究。為逃避防病毒軟件的檢測,惡意的JS代碼往往經(jīng)過混淆或變形,常規(guī)的特征匹配檢測技術(shù)

4、對混淆網(wǎng)頁木馬檢測基本無效。本文利用Google V8 JavaScript腳本引擎編譯惡意JS腳本生成機器碼,從機器指令中提取出操作碼后再進(jìn)行基于字N-gram的出現(xiàn)頻率統(tǒng)計,以出現(xiàn)最為頻繁的200個gram作為區(qū)別正常腳本和惡意腳本的網(wǎng)頁木馬特征。
　　4.本文使用網(wǎng)絡(luò)爬蟲等工具從互聯(lián)網(wǎng)上收集100個正常JS腳本和100個惡意JS腳本作為網(wǎng)頁木馬樣本集合。然后利用這200個樣本數(shù)據(jù)集合進(jìn)行BP神經(jīng)網(wǎng)絡(luò)集成分類器模型的訓(xùn)練,使用