基于SVM模型的惡意網(wǎng)頁及PDF文檔檢測技術(shù)研究.pdf

1、互聯(lián)網(wǎng)在給人們提供更加方便、快捷的信息化服務(wù)的同時(shí),也由于其開放性和脆弱性給黑客攻擊打開了便利之門。當(dāng)前,在眾多的網(wǎng)絡(luò)攻擊中,最流行的攻擊方式是將腳本元素作為攻擊代碼的載體,利用瀏覽器及其插件中的漏洞,在客戶端隱蔽下載并執(zhí)行惡意程序,進(jìn)而對(duì)用戶實(shí)施惡意攻擊。這種典型的網(wǎng)頁木馬攻擊方式已經(jīng)對(duì)互聯(lián)網(wǎng)的安全構(gòu)成嚴(yán)重威脅。傳統(tǒng)基于靜態(tài)特征碼的反病毒引擎主要采用匹配法來檢測網(wǎng)頁木馬,這種方法的局限性在于無法檢測出經(jīng)過混淆的惡意代碼,并且靜態(tài)特征庫

2、也會(huì)隨著時(shí)間的推移變得異常龐大,最終導(dǎo)致檢測性能下降。因此,有必要研究一種能夠在不依賴靜態(tài)特征庫的情況下,實(shí)現(xiàn)對(duì)惡意混淆代碼的快速檢測技術(shù)。此外,隨著 PDF文檔的廣泛應(yīng)用,以及PDF閱讀軟件存在的諸多漏洞,使得PDF文檔也逐漸成為網(wǎng)頁木馬的傳播載體。因此,設(shè)計(jì)一種能夠同時(shí)檢測惡意Web頁面和惡意PDF文檔的混合樣本檢測引擎具有廣闊的市場前景。
　　基于以上出發(fā)點(diǎn),本論文通過對(duì)Web樣本和PDF樣本的結(jié)構(gòu)進(jìn)行分析,然后利用基于統(tǒng)計(jì)

3、學(xué)習(xí)理論的支持向量機(jī)技術(shù)和基于動(dòng)態(tài)運(yùn)行的shellcode仿真技術(shù),實(shí)現(xiàn)了一種能夠快速檢測出隱藏在Web網(wǎng)頁或PDF文檔中的惡意代碼的檢測引擎。論文的主要工作如下:
　　(1)對(duì)網(wǎng)頁木馬的攻擊與防御技術(shù)進(jìn)行全面歸納總結(jié)。闡述了網(wǎng)頁木馬的基本攻擊原理和攻擊手段;分析了針對(duì)不同環(huán)節(jié)(如:網(wǎng)站服務(wù)器端、中間代理端、客戶端)的防御技術(shù)及其優(yōu)缺點(diǎn)。
　　(2)采用支持向量機(jī)技術(shù)來檢測混淆的惡意網(wǎng)頁代碼,克服了傳統(tǒng)基于靜態(tài)特征碼檢測技術(shù)

4、的缺陷。通過對(duì)待測樣本的結(jié)構(gòu)進(jìn)行分析并提取其中的 JS代碼,并利用支持向量機(jī)技術(shù)對(duì)大量 JS特征字符進(jìn)行訓(xùn)練,獲得一個(gè)可以區(qū)分惡意樣本和正常樣本的特征分類器,從而實(shí)現(xiàn)對(duì)惡意混淆代碼的快速檢測(分類)。
　　(3)通過對(duì)PDF文檔結(jié)構(gòu)中的流對(duì)象進(jìn)行靜態(tài)分析,提取其中嵌套的JS代碼,再利用支持向量機(jī)檢測技術(shù)對(duì)JS代碼檢測,從而實(shí)現(xiàn)了對(duì)惡意PDF文檔的檢測。
　　(4)使用一種動(dòng)態(tài)模擬工具對(duì)惡意腳本中的Shellcode代碼進(jìn)行運(yùn)