La mayoría de páginas web maliciosas incluyen códigos ofuscado con el fin de evadir la detección de los sistemas de detección de intrusos basados en firmas. En este trabajo, se propone una nueva metodología que permite detectar caracteres ofuscados en páginas web maliciosas.
Obteniendo tres métricas como reglas para detectar cadenas ofuscadas analizando los patrones de código normal y código malicioso en JavaScript.
N-gram
Es un algoritmo para búsqueda de texto que verifica cuanto de cada bytecode es utilizado en los caracteres
Entropía
Verifica la distribución de bytecodes usados, de tal manera que a través de las cadenas ofuscadas se puede determinar que estas tienen valores entrópicos bajos porque usan solo algunos caracteres
Tamaño de la palabra
Verifica si se usan longitudes de cadenas largas, que es por lo regular visto en cadenas ofuscadas
Para mayor referencia:
Documento [PDF]