网络信息获取方式的多样性及普遍性使得脆弱的互联网终端成为不法攻击者通过网页木马静默攻击用户的主要途径。JavaScript语言不仅是构成互联网上活跃和动态Web内容的核心组件,同时也为大量进行偷渡式下载的网页木马提供了攻击和隐蔽自身的基础。由于这些攻击的混淆代码频繁而多变,给恶意代码检测的研究带来了困难,静态的检测方法在实践中被证明具有很大的漏报率,动态的行为检测方法的检测率受到恶意特征库的局限且开销大。本文深入分析与研究了混淆网页木马的技术与特点,然后提出了基于多字节码的恶意JavaScript检测模型,利用抽象语法树获取重构的代码,以此代码为基础提取多字节码特征,并利用高效的机器学习技术进行分类器模型的训练。最后设计与实现了基于多字节码的恶意代码检测系统,并验证了系统的有效性,进行系统展示与功能验证。论文的主要研究内容和成果如下:1.提出基于多字节码的网页木马特征提取方法。获取代码解析后的字节码表示,利用代码经过编译解析产生的语义泛化性,从中提取可以表征恶意JavaScript代码的多字节码特征。2.提出一个基于多字节码的混淆网页木马检测模型。首先将代码解析为抽象语法树,通过遍历树结构对语法树进行组织重构,使用转换后的语法树生成代码行为清晰的同语义代码。以经过重构的代码为分析基础,使用基于多字节码的特征提取技术,利用高效的机器学习技术进行分类器模型的训练。搭建测试环境,设计测试效果检测实验对提出的检测模型进行测试。3.设计与开发了基于多字节码的混淆网页木马检测系统,设计与实现系统各功能模块。该检测系统可利用离线训练得到的模型对网页数据进行网页木马检测。对模型的测试实验结果表明,基于多字节码的特征提取方法可以有效地提取出能够表征恶意代码的多字节码集合。模型结合了代码重构以及多字节码特征提取,能够自动化地获取有效的混淆网页木马特征。对系统进行的检测评估表明,本文提出的检测模型具有较好的泛化能力。