技術領域

本發明涉及一種JavaScript惡意代碼智能檢測方法。

背景技術

惡意代碼是威脅計算機安全的重要形式之一，本質上是一段計算機代碼或者程序(一段指令)，這段代碼可以按照攻擊者的意愿執行一系列包含惡意企圖的操作；代碼的形式可能是可執行代碼性指令、腳本語言、字處理宏語言或者其他類型。典型的惡意代碼包括病毒、蠕蟲和特洛伊木馬。

本發明研究的對象是可嵌在網頁中的JavaScript腳本，是一種基于對象和事件驅動的客戶端腳本語言。JavaScript使得網頁和用戶之間實現了一種實時性的、動態的、交互性的關系，使網頁可以包含更多活躍的元素和更加精彩的內容，但是也使得黑客們更容易編寫和運行惡意代碼，例如能從網絡中自動加載其他的惡意腳本，能操作頁面Document對象，操作用戶看見的HTML界面，能獲取或向用戶請求輸入有價值的賬號密碼等數據，并發送數據請求到世界上任何地方的服務器。同時，黑客還可以使用JavaScript來攻擊瀏覽器的漏洞，這種攻擊可能導致瀏覽器崩潰、內存泄露等等。面對這些安全問題，亟需對JavaScript的安全問題進行深入研究，提高對JavaScript的惡意腳本的檢測能力，保障互聯網應用的安全。

惡意代碼檢測技術已經成為信息安全領域的一個重要方向，并且已經取得了非常多的研究成果。惡意代碼的檢測技術根據采用分析對象的不同主要分靜態檢測和動態檢測兩種，靜態檢測是對代碼的文本特征進行分析，動態檢測則是對代碼執行行為的分析。

靜態檢測的典型方法是基于簽名的檢測技術，主要基于模式匹配的思想，為每種已知惡意代碼產生一個唯一的簽名特征標記來創建惡意代碼庫。這些簽名特征是由行業專家分析病毒樣本，進行手工提取，一個簽名標志一個特定惡意代碼的獨特性質?；诤灻椒ǖ膶崿F步驟如下：

(1)采集已知惡意代碼樣本；

(2)在惡意代碼樣本中，抽取惡意代碼簽名特征；

(3)將簽名納入惡意代碼數據庫；

(4)檢測文件。若待檢文件中含有惡意代碼庫中的簽名，即判斷此文件是惡意代碼或者已被惡意代碼感染。

基于簽名方法是目前最方便、應用最廣的檢測方法，很多商業的殺毒產品都是采用這種技術。其優點是檢測速度快，病毒庫中已有的惡意代碼，能夠準確檢測出來，誤報率較低。缺點是對新出現的病毒無能為力，必須不斷更新版本，向病毒庫中添加新病毒的特征。

動態檢測的典型方法是基于行為的檢測技術，一般需要動態執行代碼或者虛擬執行代碼，利用病毒的特有行為特征來監測病毒。通過對病毒多年的研究，發現有一些行為是惡意代碼的共同行為，而且非常特殊，正常代碼中很少包含這些行為。一些典型的惡意行為特征如下：

(1)搶占INT?13H號中斷。引導型病毒會攻擊Boot扇區或主引導扇區，并在其中放置病毒所需的代碼，系統啟動時，Boot扇區或主引導扇區會執行INT?13H功能，病毒代碼就會被加載。

(2)修改系統內存總量。病毒為了完成感染與破壞等特定功能，將減少系統內存總量，使系統及其它應用程序不能占據其空間，而使自身常駐在內存中。

(3)對特定文件執行寫操作。由于病毒是依附而生，那么在病毒執行時，就要將自身代碼附加在被感染文件之中，使得被感染文件有異常的寫操作。

(4)監測系統調用序列。系統調用是用戶應用程序與操作系統的唯一接口，某些系統調用序列可以體現某種程度的惡意語義。

因此，基于行為的檢測方法可以檢測出一些新出現的未知病毒，其研究的難點在于提取惡意行為特征，并且系統開銷較大。

綜上所述，靜態檢測效率高，但是無法檢測新的惡意代碼；動態檢測技術能檢測新的惡意代碼，但是效率不高，行為特征提取難度大，可操作性差。有鑒于此，研究人員關注如何高效地自動檢測新出現的惡意代碼，自動分類器的方法就成為反病毒領域中的一種熱點技術。實際上，隨著數據挖掘技術的應用推廣，將數據挖掘技術應用到惡意代碼檢測已取得了不錯的實驗效果。目前，基于數據挖掘和機器學習的惡意代碼檢測開始得到越來越多地關注，已成為一個新的研究熱點。