[发明专利]一种基于动态内容分析的网页木马实时检测方法

摘要

本发明公开了一种基于动态内容分析的网页木马实时检测方法，首先组成样本库，并将样本库分成训练集和测试集；然后用JavaScript动态分析软件对样本库的网页中的JavaScript代码进行插桩，运行插桩后网页，动态追踪字符串处理提取一系列行为特征，与此同时，记录“堆操作危险指数”，以上特征组成特征向量，将所有特征向量生成样本库的特征集；选择不同的分类算法，进行分类模型训练，选择分类结果最优的模型作为检测模型；最后运行动态分析软件，对经过代理服务器的网页进行插桩，访问已插桩的待测网页，动态提取相关特征，使用检测模型判断是良性网页还是包含网页木马的恶意网页。相比静态分析方式，本发明具有更高的检测精准率，可以有效对抗代码混淆技术。

主权项

一种基于动态内容分析的网页木马实时检测方法，其特征在于包含以下步骤：步骤1)收集一定量的恶意网页集M和和良性网页集B，分别组成样本库，并将样本库分成训练集和测试集；步骤2)用JavaScript动态分析软件对样本库的网页中的JavaScript代码进行插桩，运行插桩后网页，利用动态分析软件的回调分析函数，给所有创建的字符串加上污点记录，并记录JavaScript代码中对字符串的操作，以及每次操作的字符串的源类型，当一个字符串流向指定的终点时，将该字符串经历过的每次字符串操作记录和对应的源类型作为一个特征，与此同时，记录“堆操作危险指数”，以上特征组成特征向量，将从样本库中网页提取的所有特征向量生成样本库的特征集；步骤3)选择不同的分类算法，使用步骤2生成的特征集进行分类模型训练，选择分类结果最优的模型作为检测模型；步骤4)建立代理服务器，运行动态分析软件，对经过代理服务器的网页进行插桩，访问已插桩的待测网页，动态提取步骤2所述的相关特征，使用步骤3获得的检测模型判断是良性网页还是包含网页木马的恶意网页。