基于分類器集成的網(wǎng)頁(yè)惡意代碼檢測(cè)研究.pdf

1、在這個(gè)互聯(lián)網(wǎng)飛速發(fā)展的時(shí)代，網(wǎng)絡(luò)不僅豐富了人們娛樂生活，也在各個(gè)方面為人們做出了巨大貢獻(xiàn)，改進(jìn)了人們的生活。然而，網(wǎng)絡(luò)在為人們的生活帶來便捷的同時(shí)也帶來了隱患。不法分子在網(wǎng)絡(luò)的飛速發(fā)展中看到了可乘之機(jī)，利用惡意代碼破壞網(wǎng)絡(luò)安全，謀取經(jīng)濟(jì)利益。政府和國(guó)家對(duì)于惡意代碼檢測(cè)越來越重視。
　　惡意代碼檢測(cè)一般分為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)兩種方法。靜態(tài)檢測(cè)主要是基于規(guī)則和特征值匹配，提取網(wǎng)頁(yè)特征。動(dòng)態(tài)檢測(cè)是通過在虛擬環(huán)境中運(yùn)行惡意代碼，根據(jù)惡意代

2、碼的行為提取特征，本文主要是針對(duì)JavaScript惡意代碼，基于機(jī)器學(xué)習(xí)對(duì)惡意代碼檢測(cè)進(jìn)行研究。本文的主要工作和成果如下:
　　1.本文對(duì)于混淆的JavaScript代碼用V8引擎編譯成機(jī)器碼，并針對(duì)惡意代碼特點(diǎn)將機(jī)器碼中的操作數(shù)分類簡(jiǎn)化并與操作碼混合。對(duì)處理后的機(jī)器碼根據(jù)信息增益用Bi-Gram和Tri-Gram提取特征值。提出基于頻率、距離和互信息的方法對(duì)樣本處理找出斷點(diǎn)，計(jì)算單個(gè)樣本變長(zhǎng)N-gram特征。經(jīng)實(shí)驗(yàn)分析證實(shí)，處

3、理后的操作數(shù)和操作碼混合的特征提取能更細(xì)致的表達(dá)機(jī)器碼行為，并且通過變長(zhǎng)N-Gram統(tǒng)計(jì)的特征能避免將有效序列分開的問題，提升了分類效果。
　　2.在研究常見的分類算法和分類器集成算法的基礎(chǔ)上，針對(duì)輸入單一的問題，提出集成分類器輸入優(yōu)化，對(duì)輸入的數(shù)據(jù)集用不同方式處理，使得內(nèi)部多種分類器能針對(duì)性訓(xùn)練形成分類模型進(jìn)行集成。并且通過加入次級(jí)分類器，將原本單層的分類器集成結(jié)構(gòu)變成多層次分類器集成，引入權(quán)重，給每個(gè)分類器設(shè)定不同的權(quán)重，通過