JavaScript恶意代码检测技术探究

当前,Web服务已经被广泛应用,每天都会有大量的用户访问网页,由此Web安全也变得尤为重要。作为前端开发语言,JavaScript提供了丰富多样的功能,为用户带来便利的同时,也带来了安全隐患。若Web页面存在未被察觉的漏洞,则会导致恶意网页中JavaScript代码对客户端产生严重威胁。目前恶意代码检测技术有很多,基础的防御措施是通过黑名单、白名单机制对恶意代码进行过滤,但随着技术的发展,这种方式已经很难适用于当前的Web环境。除此之外,通过蜜罐技术研究代码调用系统函数的规律也是一种方式。该文结合机器学习,将其与恶意代码的检测技术结合进行探究。

自编码网络在JavaScript恶意代码检测中的应用研究

针对传统机器学习特征提取方法很难发掘JavaScript恶意代码深层次本质特征的问题,提出基于堆栈式稀疏降噪自编码网络(sSDAN)的JavaScript恶意代码检测方法。首先将JavaScript恶意代码进行数值化处理,然后在自编码网络的基础上加入稀疏性限制,同时加入一定概率分布的噪声进行染噪的学习训练,使得自动编码器模型能够获取数据不同层次的特征表达;再经过无监督逐层贪婪的预训练和有监督的微调过程可以得到有效去噪后的更深层次特征;最后利用Softmax函数对特征进行分类。实验结果表明,稀疏降噪自编码分类算法对JavaScript具有较好的分类能力,其准确率高于传统机器学习模型,相比随机森林的方法提高了0.717%,相比支持向量机(SVM)的方法提高了2.237%。

分析多类特征和欺诈技术检测JavaScript恶意代码

JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有较好的识别能力。

基于卷积神经网络的JavaScript恶意代码检测方法

机器学习的JavaScript恶意代码检测方法在提取特征过程中耗费时间和人力,以及这些频繁使用的机器学习方法已经无法满足当今信息大爆炸的实际需要。提出了一种基于卷积神经网络的JavaScript恶意代码检测方法。采用爬虫工具收集良性和恶意的JavaScript脚本代码获得样本数据;将JavaScript样本转换为相对应的灰阶图像,得到图像数据集;通过构建卷积神经网络模型对图像数据集进行训练,使得模型具有检测JavaScript恶意代码的能力。实验结果表明,相对于机器学习,该方法对收集到的5 800条JavaScript代码样本,检测准确率达到98.9%。

BiLSTM在JavaScript恶意代码检测中的应用

传统的机器学习方法在检测JavaScript恶意代码时,存在提取特征过程复杂、计算量大、代码被恶意混淆导致难以检测的问题,不利于当前JavaScript恶意代码检测准确性和实时性的要求.基于此,提出一种基于双向长短时神经网络(BiLSTM)的JavaScript恶意代码检测方法.首先,将得到的样本数据经过代码反混淆,数据分词,代码向量化后得到适应于神经网络输入的标准化数据.其次,利用BiLSTM算法对向量化数据进行训练,学习JavaScript恶意代码的抽象特征.最后,利用学习到的特征对代码进行分类.将本文方法与深度学习方法和主流机器学习方法进行比较,结果表明该方法具有较高的准确率和较低的误报率.

基于深度学习和区块链的JavaScript恶意代码检测系统

目前基于深度学习的恶意代码检测技术是恶意代码检测领域的研究热点,然而大多数研究集中于如何改进算法来提高恶意代码检测的准确率,忽略了恶意代码数据集样本标签的不足导致无法训练出高质量的模型.本文利用区块链技术来解决恶意代码检测数据样本孤岛和数据可信任的问题;同时在代码特征提取上,使用马尔可夫图算法提取特征;基于分布式深度学习的训练融合区块链去中心化,可溯源不可篡改的优势,将不同算力贡献者采用同步训练更新模型参数.通过仿真实验和理论分析验证了该方法的可行性和巨大的潜力.

基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。

基于Ngram-TFIDF的深度恶意代码可视化分类方法

随着恶意代码规模和种类的不断增加,传统恶意代码分析方法由于依赖于人工提取特征,变得耗时且易出错,因此不再适用。为了提高检测效率和准确性,提出了一种基于Ngram-TFIDF的深度恶意代码可视化分类方法。结合N-gram和TF-IDF技术对恶意代码数据集进行处理,并将其转化为灰度图。随后,引入CBAM并调整密集块数量,构建DenseNet88_CBAM网络模型用于灰度图分类。实验结果表明,所提方法在恶意代码家族分类和类型分类上分别提高了1.11%和9.28%的准确率,取得了优越的分类效果。

基于高维多目标序贯三支决策的恶意代码检测模型

针对传统基于二支决策的恶意代码检测方法在面对动态环境中的复杂海量数据时,没有考虑在信息不充足条件下进行决策产生影响的问题,本文提出了一种基于卷积神经网络的序贯三支决策恶意代码检测模型。通过卷积神经网络对样本数据进行特征提取并构建多粒度特征集,引入序贯三支决策理论对恶意代码进行检测。为改善检测模型整体性能,避免阈值选取的主观性,本文在上述模型的基础上,同时考虑模型的综合分类性能、决策效率和决策风险代价建立高维多目标序贯三支决策模型,并采用高维多目标优化算法对模型进行求解。仿真结果表明,模型在保证检测性能的同时,有效地提升了决策效率,降低了决策时产生风险代价,更好地拟合了真实动态检测环境。

一种基于FastText的恶意代码家族分类方法

传统的恶意代码家族分类方法主要通过代码家族浅层关联特征的统计分析达到分类和识别的目的。随着恶意代码加壳、混淆、多态技术的发展,传统方法的局限性逐渐显现,但恶意代码需调用API函数达成恶意目的始终是其不变的行为特征。基于embedding、word2vec模型的传统方法缺乏对低频API函数的特征提取能力,在表征API序列局部顺序特征时易产生映射失真,存在词典外API行为扩展、推理能力弱等导致分类准确率下降的不足。由此,引入负采样优化的FastText框架以加强对API序列映射的准确度,提出一种基于FastText框架下的恶意代码家族分类方法。利用FastText框架实现代码样本API序列的多维向量转换和精准表达,结合一维卷积及长短时记忆(LSTM)网络进一步提取API行为局部特征。实验结果表明,该模型的性能相较于传统的embedding方法和word2vec框架性能更优,准确率可达99%以上。

基于行为特征的PowerShell恶意代码检测模型

随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系。最后,使用全连接层实现恶意性检测。实验结果表明,模型能够有效检测PowerShell恶意代码。

基于Transformer和CNN的恶意代码分类方法

针对现有基于CNN的恶意代码分类方法存在训练成本高以及少数类分类准确率低的问题,结合CNN和Transformer的特点提出了基于改进MobileVit的恶意代码分类方法 .首先,采用恶意代码可视化的样本预处理方法,加快模型收敛;然后,结合CNN和自注意力机制,提出了基于代价敏感性的MobileVit模型,通过改进Transformer encoder结构和加入Focal Loss方法,降低模型的训练成本,在提高模型对恶意代码样本表征能力的同时,保证模型对少数类的关注.实验表明,在网络层数、参数数量明显减少的情况下,改进后的MobileVit模型在准确率上依然能保持优势,在微软恶意代码分类数据集上准确率最高达到98.88%,相比于未修改的模型,在精确率、召回率和F1分数上分别提高了1.7%、2.0%和2.1%.模型对大型恶意家族预测准确率保持在99%以上的同时,对小型恶意家族的准确率最高提高了17%.

基于神经网络平滑聚合机制的恶意代码增量训练及检测

为保证恶意代码变种检测模型的时效性,传统基于机器(深度)学习的检测方法通过集成历史数据和新增数据进行重训练更新模型存在训练效率低的问题。笔者提出一种基于神经网络平滑聚合机制的恶意代码增量学习方法,通过设计神经网络模型平滑聚合函数使模型平滑演进,通过添加训练规模因子,避免增量模型因训练规模较小而影响聚合模型的准确性。实验结果表明,对比重训练方法,增量学习方法在提升训练效率的同时,几乎不降低模型的准确性。

恶意代码可视化分类研究

新型恶意代码设计变得日益复杂,传统的识别并检测方法已经满足不了当前的需求。因此,在对BODMAS数据集分析的基础上,将其进行可视化处理并进行分类。同时考虑到现有恶意代码可视化分类模型主要依赖全局特征,在卷积神经网络基础上设计了一个CA(通道级局部特征关注)模块和一个MA(多尺度局部特征关注)模块,构建了两个新模型,巧妙地结合全局与局部特征。在BODMAS数据集上,新模型在恶意代码种类识别并分类平均准确率相比于BODMAS数据集论文描述的方法得到了提高,证明了数据集可视化可行性和新模型的有效性,为未来研究提供了重要的数据和实验基础。

基于卷积神经网络的恶意代码识别技术研究

随着移动互联网和5G等新技术的发展,恶意代码呈井喷之势,传统基于特征码、启发式搜索等恶意代码识别方法在新形势下捉襟见肘,难以满足企业海量恶意代码实时检测的实际应用需求。开展了基于卷积神经网络的恶意代码识别技术研究,提出了企业恶意代码分析架构及算法流程设计,在终端侧通过程序逆向分析实现可疑文件操作码及操作数的特征建模,在主站侧通过可疑文件动态执行实现其API调用特征的建模,通过字典构建将恶意代码的识别问题转化为文本识别问题,最后采用采用卷积神经网络对互联网样本集进行了训练及验证,结果显示所提算法能达到较高的识别水平。

基于人工智能的恶意代码自动识别方法

本文致力于恶意代码检测领域,提出了一种基于人工智能的综合方法。首先,深入研究了基于人工智能的恶意代码检测框架。其次,提出了一种结合了长短时记忆网络(long short-term memory,LSTM)和多层感知机(multilayer perceptron,MLP)的恶意代码识别方法,其中LSTM用于提取恶意代码的关键特征,MLP用于代码分类。最后,在公开数据集上进行了实验,实验结果表明所提方法具有较高的准确率、精确率和召回率,证明了所提方法的有效性。这一研究不仅为恶意代码领域提供了新的思路和方法,也为构建更为健壮的网络安全体系提供了有力支持。

基于大型工控网络的恶意代码检测技术研究

目前,针对工业控制系统(ICS)网络安全的途径主要是基于防火墙、数据二极管和其他入侵防御方法,这可能不足以应对那些日益增长的、来自积极攻击者的网络威胁。为了提高ICS的网络安全性,提出一种基于行为特征分析的恶意代码检测方法,该方法综合利用网络流量数据、主机系统数据以及测量的过程参数,实现对恶意代码的精准检测。详细分析ICS的业务特征以及网络拓扑,剖析针对ICS的网络攻击技术。所提方法通过对ICS的原始日志信息以及流量信息进行提取,利用基于空间分析和时间分析相互融合的恶意代码检测方法对ICS行为数据进行异常检测。实践表明,所提方法可以有效发现隐藏在网络中的恶意代码攻击行为。

基于深度学习的电力系统混淆恶意代码检测系统

代码样本迭代数不断增大的情况下,保证电力系统主机对混淆恶意代码的精准检测,设计基于深度学习的电力系统混淆恶意代码检测系统。遵照恶意代码分辨原则,执行代码字符串拆分指令,联合已知的混淆度计算结果,完成检测系统的软件应用环境设计,并结合各级硬件设备结构,实现基于深度学习的电力系统混淆恶意代码检测系统的应用。实例分析结果显示,在深度学习算法作用下,随着代码样本迭代数增大,收敛指标始终能够保持相对较高的数值水平,与卷积神经网络型检测系统相比,更能满足电力系统主机对于精准检测混淆恶意代码的实际应用需求。

基于可信计算的恶意代码防御机制设计分析

当前,信息技术快速发展,计算机信息安全问题备受关注。以恶意代码最甚,这类威胁源自终端,带来的安全风险极大,必须引起重视,做好恶意代码防御工作。恶意代码保护提取可执行文件和相关配置文件作为检查对象,提取的可执行文件还包含扩展安全属性和相关配置文件等脚本,可以提供更完整的系统安全策略。本文研究基于可信计算的恶意代码防御机制设计路径,为更好地提升应对恶意代码攻击提供一些思路和参考。

基于人工智能的物联网恶意代码检测综述

近年来,随着物联网(Internet of things,IoT)设备的大规模部署,针对物联网设备的恶意代码也不断出现,物联网安全面临来自恶意代码的巨大威胁,亟需对物联网恶意代码检测技术进行综合研究.随着人工智能(artificial intelligence,AI)在计算机视觉和自然语言处理等领域取得了举世瞩目的成就,物联网安全领域也出现了许多基于人工智能的恶意代码检测工作.通过跟进相关研究成果,从物联网环境和设备的特性出发,提出了基于该领域研究主要动机的分类方法,从面向物联网设备限制缓解的恶意代码检测和面向性能提升的物联网恶意代码检测2方面分析该领域的研究发展现状.该分类方法涵盖了物联网恶意代码检测的相关研究,充分体现了物联网设备独有的特性以及当前该领域研究存在的不足.最后通过总结现有研究,深入讨论了目前基于人工智能的恶意代码检测研究中存在的问题,为该领域未来的研究提出了结合大模型实现物联网恶意代码检测,提高检测模型安全性以及结合零信任架构3个可能的发展方向.