基于静态关键字和图神经网络的浏览器挖矿检测方法研究

来源 :西北大学 | 被引量 : 0次 | 上传用户:eoast
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
近年来,浏览器挖矿已经成为一种新的网站盈利方式。不法分子利用其便捷的特性将挖矿脚本注入到他人或自己的网站中,一旦访客访问了这些站点,恶意挖矿脚本就会在后台默认运行。这些恶意挖矿脚本利用各种规避技术以逃避安全检测,长期侵占访客的计算资源,获取非法利益。为了应对浏览器挖矿攻击,研究人员围绕网站的动静态特征提出了各种不同的检测方法。尽管这些方法在已知的数据集中表现良好,但是在真实场景中仍然存在查全率不足、查准率较低等问题。为此,本文从静态和动态两个角度分别提出了两种不同的浏览器挖矿检测方法。本文主要工作和贡献如下:(1)针对现有的浏览器挖矿脚本检测方法难以抵御规避技术且查全率较低的问题,提出了一种基于静态关键字的挖矿脚本检测方法。该方法以跟踪文件为输入,提取网站的资源请求和服务连接请求,通过与挖矿服务关键字列表进行正则匹配来找出挖矿脚本。该方法能有效对抗域名变换和代码混淆技术,及时发现已知的挖矿脚本。(2)针对现有的浏览器挖矿行为检测方法无法理解挖矿本质且查准率较低的问题,本文深入分析了浏览器挖矿的动态特征,并且根据网站的行为构建了多边关系图结构。以多边关系图为基础,提出了一种基于图神经网络的挖矿行为检测方法,该方法可以准确提取网站的运行时行为并找出实时运行的挖矿网站。由于多边关系图对挖矿本质特征的准确表达,该方法在真实场景下对未知的网站行为具有更高的检测精度。(3)融合上述动静态检测方法,本文设计并实现了一套浏览器挖矿检测原型系统Miner Lamp。本文从真实环境中收集了21923条数据以开展实证研究,同时将Miner Lamp与6种已有的检测工具在查准率、查全率、F1值和性能等方面进行了深入比较。最终,Miner Lamp在挖矿脚本检测实验中达到了100%的查准率和99.68%的查全率,在挖矿行为检测实验中达到了100%的F1值。实验结果表明,基于静态关键字的方法和基于图神经网络的方法相结合能有效提升浏览器挖矿检测系统的查准率和查全率。
其他文献
学位
学位
学位
学位
学位
危险物体会对个体准备执行的动作产生干扰造成反应减慢,这一现象被称为危险物体的动作干扰效应。对于动作干扰效应的来源,已有事件相关电位(ERP,Event-related Potentials)研究指出:动作干扰效应源自危险评估而非反应抑制,反应在ERP结果中表现为:代表危险评估的顶叶P3振幅在危险条件下显著正于中性条件,而代表反应抑制的额叶N2振幅在危险条件和中性条件下没有显著差异。由于上述研究要求
学位
传统教学中,教师通常根据教材顺序进行教学,导致学生无法发挥主体作用,极大地影响了学生对地理知识的学习兴趣,阻碍了学科素养的提升。随着地理学科改革的不断深化,培养学生学科素养成为教学的重要目标,“大单元”教学是培养学生学科素养十分有效的途径。当前,高中地理教学存在教师对核心素养、“大单元”教学理念认识不深刻等诸多问题,教师以教材中的核心知识为基础,并针对性地设计大单元教学方案,完成指向核心素养的教学
期刊
学位
学位
学位