《JSAC: A Novel Framework to Detect Malicious JavaScript via CNNs over AST and CFG》
《JSAC:一种基于AST和CFG的CNNs恶意JavaScript检测框架》
作者:Hongliang Liang, Yuxing Yang, Lu Sun, Lin Jiang
简介:作者的创新点在于用AST(抽象语法树)和CFG(控制流图)作为语法和语音特征提取,再用树卷积和图卷积进行处理,最后得到的两个特征合并后分类。
一、加入CFG的原因
不同程序可能形成相同的AST,如下图所示:
二、模型结构
对于要处理的JS代码文件,JSAC模型先构建出它的AST和CFG。一方面,用单层神经网络模型以学习AST中不同的结点类型对应的分布向量表示,并将AST的结点映射为这些学习到的分布式向量;另一方面,随机初始化了CFG中指令类型的分布式向量,CFG的指令根据不同类型被映射为对应的分布式向量。
JSAC模型应用了能够处理树结构的TBCNN模型和能够处理图结构的GBCNN模型。AST的分布式向量表示被送入TBCNN,有该模型对程序的语法信息进行分析,并从中提取出语法特征;CFG的分布式向量表示送入GBCNN模型,由该模型对程序的语义信息进行分析,并提取语义特征。最后TBCNN和GBCNN都应用了动态池化方法,以固定特征向量的维度。
之后,语法特征向量和语义特征向量被进一步合并起来。
最后,JSAC模型的输出层是若干全连接层,并应用softmax函数映射输出结果。
三、总结
这篇文章引入了CFG,并用对应的CNN去处理,这是很不错的创新点。但是之后将两个特征进行合并,这其实是不太友好的。文章将JS文件转化为AST用的是开源工具Esprima。CFG是通过AST得到的,但是过程代码是作者修改GitHub上进行的,修改后的代码并未开源。