论文1笔记
论文标题《基于深度学习的JavaScript恶意代码检测技术研究与实现_杨宇行》
现状
1.虽然程序语言和自然语言存在相似性,但存在以下不同之处:
i)语法层面:自然语言通常按照一维时间顺序线性展开,位置临近的词句往往具有较强相关性,而代码构成的程序则拥有更立体、复杂的结构
ii)语义层面:程序语言蕴含的语义信息与自然语言有较大差异
因此,若直接使用NLP相关模型方法对程序语言进行分析,可能导致无法真正理解程序。
2.检测恶意代码的方法可分为静态分析方法和动态分析方法:
i)静态分析方法是指试图通过浏览程序代码来理解程序的行为,可使用反汇编技术。但是恶意代码为了不让人看懂会隐藏其真实意图,往往运用混淆、加壳等技术加入大量干扰信息,可读性大大降低。其缺点在于不具有普适性(人工选择特征费时费力费脑),也无法检测新型病毒。
ii)动态分析方法是指在严格控制的环境(沙盒)中执行恶意软件,并使用系统检测使用工具记录其所有的行为。但是有些狡猾的恶意代码可以通过一些手段逃避检测(比如检查ActiveX插件是否存在,来判断运行环境是否为真是浏览器,不满足则不执行)。也很费时费资源。
涉及知识点
1.AST (Abstract Syntax Tree)
2.CFG(Control Flow Graph)
3.LSTM(Long Short-Term Memory)
是一种特殊的RNN,主要是为了解决长序列训练过程中的梯度消失和梯度爆炸问题。
LSTM内部主要有三个阶段:
1. 忘记阶段。这个阶段主要是对上一个节点传进来的输入进行选择性忘记。简单来说就是会 “忘记不重要的,记住重要的”。
2. 选择记忆阶段。这个阶段将这个阶段的输入有选择性地进行“记忆”。主要是会对输入 [公式] 进行选择记忆。哪些重要则着重记录下来,哪些不重要,则少记一些。
3. 输出阶段。这个阶段将决定哪些将会被当成当前状态的输出。
4.如何获取正常样本和恶意样本
本文作者经过大量调查,最终选择了开源数据集作为恶意数据的来源。
正常样本有网络爬虫获取,获取到的样本还会使用Google Safe Browsing服务进行检测。