公開了用于阻斷腳本執行的系統和方法的示例性方面。示例性方法包括：攔截從客戶端向服務器的對于腳本的請求；生成攔截的腳本的字節碼；計算生成的字節碼的散列和；確定字節碼的散列和與存儲在數據庫中的惡意腳本和干凈腳本的多個散列和之間的相似度；從數據庫識別相似散列和，該相似散列和與字節碼的散列和的相似度在相似度閾值內；確定相似散列和的信任系數；基于相似散列和的相似度和信任系數確定請求的腳本是否為惡意的；以及阻斷惡意腳本在客戶端上的執行。

相關申請的交叉引用

本發明要求在2015年9月30日遞交的俄羅斯申請No.2015141537的優先權的權益，該俄羅斯申請通過引用并入在本文中。

技術領域

本發明總體涉及計算機安全領域，且更具體地涉及用于阻斷腳本執行的系統和方法。

背景技術

計算機和信息技術的蓬勃發展已導致用戶在其日常生活中廣泛使用電子商務、電子文件傳輸、云存儲和其它計算機技術。例如，大量用戶將其個人機密信息存儲在計算機上，且壓倒性多數商家借助電子設備和服務進行其金融和商業活動。

所描述的計算機技術的廣泛使用已經反過來引起其用于黑客行為的情況的數量增加。大量不同的惡意程序(也稱為惡意軟件)已出現，且受惡意程序影響的計算機系統的數量顯著增加。一些惡意程序從計算機系統竊取用戶的個人機密數據(諸如登錄名和密碼、銀行卡信息、電子文件)，其它惡意程序從被感染的計算機系統形成所謂的僵尸網絡，以及另外的其它惡意程序對用戶強加支付服務。

使用許多不同的安全技術(反病毒程序、防火墻、入侵檢測系統(IDS)等)來保護計算機免受惡意程序，這些安全技術能夠有效地檢測惡意程序并移除惡意程序。盡管受惡意程序感染的計算機的有效修復對用戶來說是更為重要的，但是對于公司來說，更為重要的是檢測感染計算機系統的企圖時的高運行效率和效果。

大多數現存的安全方案主要旨在檢測和移除行為或結構已知的惡意軟件。因此，當計算機系統發現其自身被新的、未知的或模糊的惡意軟件(具體地，惡意腳本)攻擊時，現存的安全方案變為無效的。此外，檢測被復合惡意程序(具體地，惡意腳本)感染的計算機系統的任務也向已知的安全方案呈現很大難度，該復合惡意程序由幾個文件組成，并不是每一個文件都攜帶惡意功能。

發明內容

公開了用于阻斷惡意腳本的執行的系統和方法的示例性方面。示例性方法包括：通過硬件處理器攔截從客戶端向服務器的對于腳本的請求；通過所述硬件處理器生成攔截的所述腳本的字節碼；通過所述硬件處理器計算生成的所述字節碼的散列和；通過所述硬件處理器確定所述字節碼的所述散列和與存儲在數據庫中的惡意腳本和干凈腳本的多個散列和之間的相似度；通過所述硬件處理器從所述數據庫識別相似散列和，所述相似散列和與所述字節碼的所述散列和的相似度在相似度閾值內；通過所述硬件處理器確定所述相似散列和的信任系數；通過所述硬件處理器基于所述相似散列和的所述相似度和所述信任系數確定請求的所述腳本是否為惡意的；以及通過所述硬件處理器阻斷所述惡意腳本在所述客戶端上的執行。

在一個示例性方面中，攔截對于腳本的請求包括：在所述客戶端上提供配置成攔截網絡腳本請求的驅動器。

在一個示例性方面中，所述字節碼包括所述腳本的至少一個操作碼。

在一個示例性方面中，生成所述腳本的字節碼包括：通過所述硬件處理器識別腳本命令，所述腳本命令負責將數據寫入磁盤、與文件系統的對象一起工作、以及執行程序的功能；通過所述硬件處理器基于識別的功能將識別的所述腳本命令分組為多個功能組；通過所述硬件處理器將二進制值分配給每個功能組；以及通過所述硬件處理器從所述二進制值生成所述字節碼。

在一個示例性方面中，散列和包括模糊散列。

在一個示例性方面中，搜索匹配的散列和包括模糊搜索。