基于字符熵的JavaScript代码混淆自动检测方法-论文.pdf

《基于字符熵的JavaScript代码混淆自动检测方法-论文.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、第32卷第1期计算机应用与软件Vol_32No．12015年1月ComputerApplicationsandSoftwareJan．2015基于字符熵的JavaScript代码混淆自动检测方法宣以广周华(浙江省电子信息产品检验所浙江杭州310007)摘要首先综述JavaScript代码混淆的各种技术和方法。在分析JavaScript代码混淆特征的基础上，提出一种基于字符熵和N—gram方法相结合的快速自动检测方法。实验表明，N—gram方法取不同N时的字符串熵对代码是否混淆均具有明显的区分能力。

2、通过大量随机爬取的Js代码分析测试，该方法可快速完成JavaScript代码混淆的自动检测，有助于更深入分析JavaScript恶意代码。关键词JavaScript代码混淆字符熵N—gram中图分类号TP309．5文献标识码ADOI：10．3969／j．issn．1000—386x．2015．01．077CHARACTERENTROPY-BASEDAUToMATICJAVASCRIPToBFUSCATIONDETECTIoNXuanYiguangZhouHua(ZhejiangProvinceEl

3、ectronicInformationProductsInspectionInstitute，Hangzhou310007，Zhejiang，China)AbstractThetechniquesandmethodsofJavaSeriptobfuscationareoverviewedfirstlyinthispaper．BasedonanalysingthespecificationsofJavaScriptobfuscation，weproposeafastautomaticdetectio

4、nschemewhichisbasedonthecombinationofcharacterentropyandN—gramapproaches．ExperimentsshowthatthecharacterstringentropyhascleardistinguishingabilityinwhetherornottheJavaSefiptcodesareobfuseatedwhenemployingdifferentvaluesoftheparameterNinN—gram．Byanalys

5、ingandtestingagreatdealofJScodesstochasticallycrawled，theproposedschemeisdemonstratedtobeabletofastcompleteautomaticJavaSeriptobfuscationdetection，andisconducivetomorethoroughanalysingJaveScriptmaliciouscode．KeywordsJavaScriptCodeobfuscationCharactere

6、ntropyN—gram的调整获得最优效果。0引言1JavaScript代码混淆研究现状随着Web应用以及黑客攻击技术的迅速发展，安全焦点正逐步从传统的网络安全转移到应用安全，各类面向Web安全1．1混淆方法的攻防技术开始层出不穷，其中Web应用脚本的攻防已成为当JavaScript是一种在浏览器端被动态解释执行的脚本语言，前的一个研究热点。JavaSeript脚本在各类Web浏览器中已得攻击者为躲避安全检测，常采用代码混淆技术。代码混淆是一到广泛应用，成为Web安全攻击的一个重要载体。为了躲避用

7、种为了避免安全系统检测而改变数据形态的技术。例如，将户端的杀毒软件、木马防治工具等检测，JavaScript恶意脚本往“ATTACK”字符串改变为“＼x65T＼x84ACK”等。由于JavaSeript往执行复杂的代码混淆变换⋯，使基于特征匹配的传统方法无引擎直接支持对字符串的解释，因此Js代码混淆技术具有多样法检测，例如目前公开的在线JavaScript代码混淆工具可参考文化特征，反混淆具有相当的难度。下面总结当前较为流行的代献[2，3]。为此，最新已有学者开展了基于机器学习的JavaS—码混淆

8、技术。cript代码混淆检测研究l5J，利用混淆代码的字节特征，提取有·内容重组方法内容重组法是最直接的网页木马迷惑效的特征样本，并利用分类方法学习和判定脚本是否被混淆，此方法，其根据脚本语言的语法规则改变程序内容，但不改变程序类方法有助于检测未知恶意代码，但特征提取和分类模型构建语句含义，主要存在如下三种方法：较为复杂且需人工参与，不利于系统开发和实现。另外，有学者(1)修改变量名恶意脚本中总含有一些变量，通过改变将机器学习与N—gram统计方法相结合研究JS恶意代码检测，这些变