本申請公開了一種惡意腳本文件的檢測方法及裝置。其中，該方法包括：在執(zhí)行獲取到的待檢測腳本文件的過程中，監(jiān)測運行待檢測腳本文件時所調用的待檢測函數(shù)；判斷待檢測函數(shù)的輸入?yún)?shù)是否包含在預先生成的填充參數(shù)數(shù)據(jù)集中，其中，填充參數(shù)數(shù)據(jù)集包括用于頁面交互的填充參數(shù)，填充參數(shù)為根據(jù)預先掛鉤的預設函數(shù)及預設解釋引擎生成的，預設函數(shù)用于輸入填充參數(shù)，預設解釋引擎用于檢測是否需要輸入填充參數(shù)；若輸入?yún)?shù)包含在填充參數(shù)數(shù)據(jù)集中，確定待檢測腳本文件為惡意腳本文件。本申請解決了由于基于靜態(tài)特征提取的惡意腳本文件檢測方法容易漏報潛在的惡意腳本文件造成的網頁服務器安全性較低的技術問題。

技術領域

本申請涉及信息安全領域，具體而言，涉及一種惡意腳本文件的檢測方法及裝置。

背景技術

網頁服務器被黑客入侵后，通常會植入一段惡意腳本文件，作為黑客使用的后門。常用的建站語言PHP(Hypertext Preprocessor，超文本預處理器)、ASP(Active ServerPage，動態(tài)服務器頁面)、JSP(Java Server Pages，Java服務頁面)都會有相應的惡意腳本文件，其中，以PHP變化做多。PHP的語法靈活，對相同的實現(xiàn)可以用不同的腳本變形，導致傳統(tǒng)的PHP惡意腳本文件檢測的難度增加。

目前的惡意腳本文件檢測，大多使用的靜態(tài)特征提取方式，然而，其對潛在的惡意腳本文件(例如變形的PHP惡意腳本文件)的檢測效果不佳，從而容易造成漏報，這將導致網頁服務器存在很大的安全隱患。

針對上述的問題，目前尚未提出有效的解決方案。

發(fā)明內容

本申請實施例提供了一種惡意腳本文件的檢測方法及裝置，以至少解決由于基于靜態(tài)特征提取的惡意腳本文件檢測方法容易漏報潛在的惡意腳本文件造成的網頁服務器安全性較低的技術問題。

根據(jù)本申請實施例的一個方面，提供了一種惡意腳本文件的檢測方法，包括：在執(zhí)行獲取到的待檢測腳本文件的過程中，監(jiān)測運行所述待檢測腳本文件時所調用的待檢測函數(shù)；判斷所述待檢測函數(shù)的輸入?yún)?shù)是否包含在預先生成的填充參數(shù)數(shù)據(jù)集中，其中，所述填充參數(shù)數(shù)據(jù)集包括用于頁面交互的填充參數(shù)，所述填充參數(shù)為根據(jù)預先掛鉤的預設函數(shù)及預設解釋引擎生成的，所述預設函數(shù)用于輸入所述填充參數(shù)，所述預設解釋引擎用于檢測是否需要輸入所述填充參數(shù)；若所述輸入?yún)?shù)包含在所述填充參數(shù)數(shù)據(jù)集中，確定所述待檢測腳本文件為惡意腳本文件。

根據(jù)本申請實施例的另一方面，還提供了一種惡意腳本文件的檢測裝置，包括：監(jiān)測單元，用于在執(zhí)行獲取到的待檢測腳本文件的過程中，監(jiān)測運行所述待檢測腳本文件時所調用的待檢測函數(shù)；判斷單元，用于判斷所述待檢測函數(shù)的輸入?yún)?shù)是否包含在預先生成的填充參數(shù)數(shù)據(jù)集中，其中，所述填充參數(shù)數(shù)據(jù)集包括用于頁面交互的填充參數(shù)，所述填充參數(shù)為根據(jù)預先掛鉤的預設函數(shù)及預設解釋引擎生成的，所述預設函數(shù)用于輸入所述填充參數(shù)，所述預設解釋引擎用于檢測是否需要輸入所述填充參數(shù)；確定單元，用于若所述輸入?yún)?shù)包含在所述填充參數(shù)數(shù)據(jù)集中，確定所述待檢測腳本文件為惡意腳本文件。

在本申請實施例中，采用在執(zhí)行獲取到的待檢測腳本文件的過程中，監(jiān)測運行待檢測腳本文件時所調用的待檢測函數(shù)；判斷待檢測函數(shù)的輸入?yún)?shù)是否包含在預先生成的填充參數(shù)數(shù)據(jù)集中，其中，填充參數(shù)數(shù)據(jù)集包括用于頁面交互的填充參數(shù)，填充參數(shù)為根據(jù)預先掛鉤的預設函數(shù)及預設解釋引擎生成的，預設函數(shù)用于輸入填充參數(shù)，預設解釋引擎用于檢測是否需要輸入填充參數(shù)；若輸入?yún)?shù)包含在填充參數(shù)數(shù)據(jù)集中，確定待檢測腳本文件為惡意腳本文件的方式，通過動態(tài)執(zhí)行待檢測腳本文件，監(jiān)測待檢測腳本文件的待檢測函數(shù)的輸入?yún)?shù)，與基于預設函數(shù)及預設解釋引擎的填充參數(shù)數(shù)據(jù)集相匹配，并不基于待檢測腳本文件的特征值，而是從待檢測腳本文件在動態(tài)執(zhí)行過程中的輸入?yún)?shù)入手，達到了確定待檢測腳本文件是否為惡意腳本文件的目的，從而實現(xiàn)了增強網頁服務器安全性的技術效果，進而解決了由于基于靜態(tài)特征提取的惡意腳本文件檢測方法容易漏報潛在的惡意腳本文件造成的網頁服務器安全性較低的技術問題。

附圖說明