JavaScript恶意代码检测技术探究

当前,Web服务已经被广泛应用,每天都会有大量的用户访问网页,由此Web安全也变得尤为重要。作为前端开发语言,JavaScript提供了丰富多样的功能,为用户带来便利的同时,也带来了安全隐患。若Web页面存在未被察觉的漏洞,则会导致恶意网页中JavaScript代码对客户端产生严重威胁。目前恶意代码检测技术有很多,基础的防御措施是通过黑名单、白名单机制对恶意代码进行过滤,但随着技术的发展,这种方式已经很难适用于当前的Web环境。除此之外,通过蜜罐技术研究代码调用系统函数的规律也是一种方式。该文结合机器学习,将其与恶意代码的检测技术结合进行探究。

自编码网络在JavaScript恶意代码检测中的应用研究

针对传统机器学习特征提取方法很难发掘JavaScript恶意代码深层次本质特征的问题,提出基于堆栈式稀疏降噪自编码网络(sSDAN)的JavaScript恶意代码检测方法。首先将JavaScript恶意代码进行数值化处理,然后在自编码网络的基础上加入稀疏性限制,同时加入一定概率分布的噪声进行染噪的学习训练,使得自动编码器模型能够获取数据不同层次的特征表达;再经过无监督逐层贪婪的预训练和有监督的微调过程可以得到有效去噪后的更深层次特征;最后利用Softmax函数对特征进行分类。实验结果表明,稀疏降噪自编码分类算法对JavaScript具有较好的分类能力,其准确率高于传统机器学习模型,相比随机森林的方法提高了0.717%,相比支持向量机(SVM)的方法提高了2.237%。

分析多类特征和欺诈技术检测JavaScript恶意代码

JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有较好的识别能力。

基于卷积神经网络的JavaScript恶意代码检测方法

机器学习的JavaScript恶意代码检测方法在提取特征过程中耗费时间和人力,以及这些频繁使用的机器学习方法已经无法满足当今信息大爆炸的实际需要。提出了一种基于卷积神经网络的JavaScript恶意代码检测方法。采用爬虫工具收集良性和恶意的JavaScript脚本代码获得样本数据;将JavaScript样本转换为相对应的灰阶图像,得到图像数据集;通过构建卷积神经网络模型对图像数据集进行训练,使得模型具有检测JavaScript恶意代码的能力。实验结果表明,相对于机器学习,该方法对收集到的5 800条JavaScript代码样本,检测准确率达到98.9%。

BiLSTM在JavaScript恶意代码检测中的应用

传统的机器学习方法在检测JavaScript恶意代码时,存在提取特征过程复杂、计算量大、代码被恶意混淆导致难以检测的问题,不利于当前JavaScript恶意代码检测准确性和实时性的要求.基于此,提出一种基于双向长短时神经网络(BiLSTM)的JavaScript恶意代码检测方法.首先,将得到的样本数据经过代码反混淆,数据分词,代码向量化后得到适应于神经网络输入的标准化数据.其次,利用BiLSTM算法对向量化数据进行训练,学习JavaScript恶意代码的抽象特征.最后,利用学习到的特征对代码进行分类.将本文方法与深度学习方法和主流机器学习方法进行比较,结果表明该方法具有较高的准确率和较低的误报率.

基于深度学习和区块链的JavaScript恶意代码检测系统

目前基于深度学习的恶意代码检测技术是恶意代码检测领域的研究热点,然而大多数研究集中于如何改进算法来提高恶意代码检测的准确率,忽略了恶意代码数据集样本标签的不足导致无法训练出高质量的模型.本文利用区块链技术来解决恶意代码检测数据样本孤岛和数据可信任的问题;同时在代码特征提取上,使用马尔可夫图算法提取特征;基于分布式深度学习的训练融合区块链去中心化,可溯源不可篡改的优势,将不同算力贡献者采用同步训练更新模型参数.通过仿真实验和理论分析验证了该方法的可行性和巨大的潜力.

基于特征工程的JavaScript恶意代码检验方法综述

随着网络技术发展和计算机设备的普及,网站应用程序已经被广泛使用,每天都有大量的用户进行网页的访问,网站和网页安全也变得尤为重要。作为网页的脚本语言,JavaScript提供了丰富多样的功能,给我们的生活提供了便利,也随之产生了许多安全隐患。如果在网页中没有查找到漏洞,就会导致JavaScript恶意代码对用户带来威胁。由于恶意代码的演变,很多传统检测方法难以有效检验现有JavaScript脚本中的漏洞,研究目前主流的基于特征工程的JavaScript恶意代码检测技术很有重要意义。本文主要介绍JavaScript恶意代码,在此基础上对特征工程和特征学习的方法和评价标准进行了对比分析,最后结合目前的JavaScript恶意代码检测研究总结了这一领域面临的问题挑战以及研究趋势。

基于CB-Attention的JavaScript恶意混淆代码检测方法

当今JavaScript代码混淆方法日益多样,现有检测方法在对混淆代检测时会出现漏报和误报的情况,为解决该问题,提出一种基于CB-Attention的JavaScript恶意代码检测方法。由SDPCNN模型和BiLSTM+Attention模型构成,SDPCNN对短距离间的语义特征信息进行提取,BiLSTM+Attention获取JavaScript代码中长距离间的语义信息特征。为验证所提方法的有效性,将该方法与其它方法进行对比,对比结果表明,该方法具有较好的检测效果,F1-Score可达98.78%。

基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。

基于多频特征学习的恶意代码变种分类

针对恶意代码变种分类方法没有充分对原始输入进行分析的问题,提出一种更加高效的基于深度学习的办法,使用卷积神经网络对多频信息进行学习。对恶意代码转化而成的图像进行研究,利用小波变换进行多频和多层次的分析,抓住低频和高频特征;针对多频信息输入,设计一种多频特征学习模块,充分挖掘其中有用信息。实验结果表明,该方法在Malimg数据集上,相比其它两种恶意代码分类办法,分别取得了1.5%和0.8%的效果提升。

基于ViT的轻量级恶意代码检测架构

随着信息社会的快速发展,恶意代码变体日益增多,给现有的检测方法带来了挑战。为了提高恶意代码变体的检测准确率和效率,文章提出一种新的混合架构FasterMalViT。该架构通过融合部分卷积结构改进ViT,显著提升其在恶意代码检测领域的性能。为了解决引入卷积操作导致参数量增加的问题,文章采用可分离自注意力机制替代传统的多头注意力,有效减少了参数量,降低了计算成本。针对恶意代码数据集中各类样本分布不均衡的问题,文章引入类别平衡焦点损失函数,引导模型在训练过程中更关注样本数量较少的类别,从而提高难分类别的性能。在Microsoft BIG、Malimg数据集和MalwareBazaar数据集上的实验结果表明,FasterMalViT具有较好的检测性能和泛化能力。

基于Ngram-TFIDF的深度恶意代码可视化分类方法

随着恶意代码规模和种类的不断增加,传统恶意代码分析方法由于依赖于人工提取特征,变得耗时且易出错,因此不再适用。为了提高检测效率和准确性,提出了一种基于Ngram-TFIDF的深度恶意代码可视化分类方法。结合N-gram和TF-IDF技术对恶意代码数据集进行处理,并将其转化为灰度图。随后,引入CBAM并调整密集块数量,构建DenseNet88_CBAM网络模型用于灰度图分类。实验结果表明,所提方法在恶意代码家族分类和类型分类上分别提高了1.11%和9.28%的准确率,取得了优越的分类效果。

基于高维多目标序贯三支决策的恶意代码检测模型

针对传统基于二支决策的恶意代码检测方法在面对动态环境中的复杂海量数据时,没有考虑在信息不充足条件下进行决策产生影响的问题,本文提出了一种基于卷积神经网络的序贯三支决策恶意代码检测模型。通过卷积神经网络对样本数据进行特征提取并构建多粒度特征集,引入序贯三支决策理论对恶意代码进行检测。为改善检测模型整体性能,避免阈值选取的主观性,本文在上述模型的基础上,同时考虑模型的综合分类性能、决策效率和决策风险代价建立高维多目标序贯三支决策模型,并采用高维多目标优化算法对模型进行求解。仿真结果表明,模型在保证检测性能的同时,有效地提升了决策效率,降低了决策时产生风险代价,更好地拟合了真实动态检测环境。

基于移动众包网络动态激励机制的恶意代码传播模型

基于移动众包网络(MCN)的固有特性,引入动态激励促进网络移动用户(MU)的活跃性,研究了恶意代码在MCN中传播的动态行为,提出一个新的恶意代码传播模型SIR-M,M节点表示处理节点任务的众包节点。首先,考虑到刚被感染节点的能动性,受感染节点可通过MCN的众包机制寻求MU对此节点进行隔离和免疫强化。其次,通过稳定性分析和数值仿真验证模型有效性,与SIR模型进行比较以分析众包机制对系统的影响。结果表明,移动众包网络的众包机制显著减缓了恶意代码的传播速度,降低了恶意代码在网络中大规模泛滥的风险。

基于Bi-LSTM模型的恶意JavaScript代码检测方法

传统的静态检测恶意JavaScript代码方法十分依赖于已有的恶意代码特征,无法有效提取混淆恶意代码特征,导致检测混淆恶意JavaScript代码的精确率低。针对该问题提出基于双向长短期记忆网络(Bidirectional Long Short-term Memory, Bi-LSTM)的恶意代码检测模型。通过抽象语法树将JavaScript代码转化为句法单元序列,通过Doc2Vec算法将句法单元序列用分布式向量表示,将句向量矩阵送入Bi-LSTM模型进行检测。实验结果表明,该方法对于混淆恶意JavaScript代码具有良好的检测效果且检测效率高,准确率为97.03%,召回率为97.10%。

TriCh-LKRepNet:融合三通道映射与结构重参数化的大核卷积恶意代码分类网络

随着网络威胁的日益严峻,恶意代码的检测与分类变得尤为关键.传统分析方法依赖手动特征提取,不仅耗时且难以跟上恶意代码的快速变异.相比之下,深度学习技术在恶意代码分类方面展现出巨大潜力.然而,模型复杂度和资源消耗仍是实际部署的难题.本研究提出了TriCh-LKRepNet(Triple-Channel Large Kernel Reparameterisation Network),该网络专注于轻量化设计,旨在确保检测性能的同时降低计算和内存需求.通过提出的三通道映射技术,将恶意代码的多维信息有效转换为图像通道,增强了特征的区分性.结合卷积神经网络(Convolutional Neural Networks,CNN)和Transformer的优势,设计了一个高效的深度学习架构,并通过重参数化技术优化了连接路径,以降低内存消耗并提升运行效率.此外,引入的线性训练时间过参数化和大卷积核技术进一步降低了模型的参数量和计算负担.通过实验证明,TriCh-LKRepNet在提升恶意代码分类精度的同时实现了模型的轻量化,与现有技术相比,展现出更佳的性能和更广泛的应用潜力,特别是在资源受限和需要实时检测的环境中,提供了一种有效的解决方案.

面向多样化编译环境的恶意代码同源性分析

随着恶意样本数量的急剧增加,为减少人工溯源的工作量,恶意代码同源性分析研究的重要性日益凸显。然而,攻击者在复用恶意代码时,需针对不同的攻击场景设置特定的编译环境,这会造成同源二进制在语法和结构层面存在很大差异,降低恶意代码同源性分析的准确率。为解决此问题,本文通过分析编译环境对二进制生成带来的影响,实现了一个准确、无监督、高效的恶意代码同源性分析方案。本文采用二进制提升与重优化技术将其统一到中间表示层,一定程度上消除语法、结构层面的改变。针对传统CBOW模型学习代码单词语义的不足,提出指令级的上下文语义学习方案,并考虑到出现上下文无关指令的小概率事件,结合SIF模型计算基本块特征向量。此外,针对恶意代码中库函数和字符串包含敏感信息更丰富的特点,本文提出基本块初始匹配集合的建立算法,在K-Hop贪心匹配算法和线性匹配算法的基础上,进一步提高了恶意代码同源性分析的准确率。实验表明,对于开源恶意代码Mirai,本方案相较于现有的无监督模型和预训练模型,在分析准确性和运行开销两个方面的综合表现更优。同时,对于其他类型的恶意代码,本方案输出的同源性指数均高于本文预先设立的同源性判定阈值,进一步证明其有效性。

一种基于增量学习的恶意代码检测方法

文章提出了一种基于增量学习的恶意代码检测方法,不仅可以减小模型大小和使用的系统资源,保证准确率,而且还可以在降低模型训练时间的基础上有效解决大多数算法所面临的灾难性遗忘问题和数据流不平衡所产生的概念漂移现象。首先将良性和恶意代码的二进制文件转换成RGB三通道彩色图,然后提取图片特征进行增量训练。文章提出的方法将训练过程分为训练卷积层和全连接层、在偏差校正层使用线性模型校正残差两个阶段。实验结果表明,模型对恶意代码检测的准确率为95.8%,可以有效地提高分类精度,因此,可以很好地用于恶意代码检测。

基于显著性分析的恶意代码对抗样本生成方法

借助于人工智能技术的快速发展,深度学习模型越来越多得应用于恶意代码检测。由于深度学习模型具有更好的泛化性能,使其可以处理新的、未知的恶意代码,能够更好地应对日益增长的恶意代码威胁。然而,深度学习模型容易收到对抗样本的欺骗,即攻击者通过对样本进行微小的改动使模型预测错误。该脆弱性带来潜在的安全风险,导致恶意代码检测系统的鲁棒性大大降低。研究深度学习模型与对抗样本之间的对抗机理,利用生成的对抗样本挖掘恶意代码检测模型的弱点,增强模型分类的可解释性是评估和提高恶意代码检测系统鲁棒性的关键。因此,本文提出一种基于显著性分析的恶意代码对抗样本生成方法,首先使用可解释性技术分析模型检测恶意代码时输入特征的显著值分布情况,并对深度学习模型分类恶意代码的决策进行解释。然后挖掘PE文件中适合施加对抗扰动的非执行区域字节序列,并构建了基于显著性分析的恶意代码对抗样本生成框架SAM。通过修改代码非执行区域中少量的关键字节,得到功能保留且能有效规避检测的对抗样本。实验结果表明,本文提出的SAM方法在仅修改不超过1024个字节的情况下,生成的对抗样本在白盒模式下对MalConv模型实现了72.9%的规避成功率,黑盒模式下的成功率也达到了45%,相较其他方法有明显提升。

一种基于FastText的恶意代码家族分类方法

传统的恶意代码家族分类方法主要通过代码家族浅层关联特征的统计分析达到分类和识别的目的。随着恶意代码加壳、混淆、多态技术的发展,传统方法的局限性逐渐显现,但恶意代码需调用API函数达成恶意目的始终是其不变的行为特征。基于embedding、word2vec模型的传统方法缺乏对低频API函数的特征提取能力,在表征API序列局部顺序特征时易产生映射失真,存在词典外API行为扩展、推理能力弱等导致分类准确率下降的不足。由此,引入负采样优化的FastText框架以加强对API序列映射的准确度,提出一种基于FastText框架下的恶意代码家族分类方法。利用FastText框架实现代码样本API序列的多维向量转换和精准表达,结合一维卷积及长短时记忆(LSTM)网络进一步提取API行为局部特征。实验结果表明,该模型的性能相较于传统的embedding方法和word2vec框架性能更优,准确率可达99%以上。