基于SVM模型的恶意网页及PDF文档检测技术研究-计算机技术专业论文.docxVIP

摘 要 互联网在给人们提供更加方便、快捷的信息化服务的同时，也由于其开放性和脆弱 性给黑客攻击打开了便利之门。当前，在众多的网络攻击中，最流行的攻击方式是将脚 本元素作为攻击代码的载体，利用浏览器及其插件中的漏洞，在客户端隐蔽下载并执行 恶意程序，进而对用户实施恶意攻击。这种典型的网页木马攻击方式已经对互联网的安 全构成严重威胁。传统基于静态特征码的反病毒引擎主要采用匹配法来检测网页木马， 这种方法的局限性在于无法检测出经过混淆的恶意代码，并且静态特征库也会随着时间 的推移变得异常庞大，最终导致检测性能下降。因此，有必要研究一种能够在不依赖静 态特征库的情况下，实现对恶意混淆代码的快速检测技术。此外，随着 PDF 文档的广 泛应用，以及 PDF 阅读软件存在的诸多漏洞，使得 PDF 文档也逐渐成为网页木马的传 播载体。因此，设计一种能够同时检测恶意 Web 页面和恶意 PDF 文档的混合样本检测 引擎具有广阔的市场前景。 基于以上出发点，本论文通过对 Web 样本和 PDF 样本的结构进行分析，然后利用 基于统计学习理论的支持向量机技术和基于动态运行的 shellcode 仿真技术，实现了一种 能够快速检测出隐藏在 Web 网页或 PDF 文档中的恶意代码的检测引擎。论文的主要工 作如下： (1) 对网页木马的攻击与防御技术进行全面归纳总结。阐述了网页木马的基本攻击 原理和攻击手段；分析了针对不同环节（如：网站服务器端、中间代理端、客户端）的 防御技术及其优缺点。 (2) 采用支持向量机技术来检测混淆的恶意网页代码，克服了传统基于静态特征码 检测技术的缺陷。通过对待测样本的结构进行分析并提取其中的 JS 代码，并利用支持 向量机技术对大量 JS 特征字符进行训练，获得一个可以区分恶意样本和正常样本的特 征分类器，从而实现对恶意混淆代码的快速检测（分类）。 (3) 通过对 PDF 文档结构中的流对象进行静态分析，提取其中嵌套的 JS 代码，再 利用支持向量机检测技术对 JS 代码检测，从而实现了对恶意 PDF 文档的检测。 (4) 使用一种动态模拟工具对恶意脚本中的 Shellcode 代码进行运行仿真，可以得到 恶意代码的详细行为分析报告，从而有助于分析人员对其进行直观、细致的分析。 关键词：网页木马；支持向量机；PDF 文档；JS 引擎；Shellcode I  Abstract The Internet brings people more convenient and faster information service than traditional service. On the other hand, the openness and vulnerability of the network provides hacker convenience. Currently, among the various means of the network attack, the most popular is embedding exploit code in benign webpage, and then downloading the malicious executable program automatically without users? knowledge. And this means of attack has posted a serious threat to the Internet security. The traditional anti-virus engine is hard to detect the obfuscated malicious code in Web page or PDF document, because of the static signatures can only match those readable and non-encrypted codes. Besides, the static signature database is increasing over time without endless. For this reason, It is promising to study a new detection technology for identifying malicious obfuscated code embedded in Web page or PDF document. In this paper, the structure of web page and PDF document is analyzed firs