技術領域

本發(fā)明涉及計算機網絡安全領域，特別涉及一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測方法及系統(tǒng)。

背景技術

隨著計算機的更新?lián)Q代及互聯(lián)網的普及，惡意代碼也響應的發(fā)生著演變，無論是從數量上還是總類上都呈現出較高的增長趨勢。其中，腳本類的惡意代碼也在頻頻出現在我們的周圍。

傳統(tǒng)的啟發(fā)式檢測技術針對樣本實體來進行分析，例如分析邏輯結構、虛擬環(huán)境中動態(tài)執(zhí)行等等，從而進行啟發(fā)式檢測，但是現有的啟發(fā)式檢測方法不夠快捷，一定程度上比較浪費資源。

發(fā)明內容

針對上述問題，本發(fā)明提出一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測方法及系統(tǒng)，解決了現有檢測方法速度較慢的問題，有效的提高了檢測速度及準確度。

首先本發(fā)明提出一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測方法，包括：

獲取輸入的待檢測腳本文件；

提取待檢測腳本文件中的代碼指紋屬性；

將代碼指紋屬性生成代碼指紋；

將所述代碼指紋與代碼指紋庫匹配，若匹配成功，則根據代碼指紋庫確定待檢測腳本文件來源，及待檢測腳本文件的惡意度；否則對待檢測腳本文件進行分析；

分析待檢測腳本文件，若所述待檢測腳本分析結果為惡意，則將提取到的代碼指紋及代碼來源添加到代碼指紋庫；若所述待檢測腳本分析結果為非惡意，則放行所述待檢測腳本文件。

所述的方法中，所述代碼指紋屬性為根據已知惡意腳本文件確定的代碼屬性，包括詞組縮寫、單詞拼寫、關鍵詞、函數命名及參數名。

所述的方法中，所述代碼指紋庫由已知惡意腳本文件確定的代碼指紋屬性、對應權值及惡意腳本文件來源組成。

所述的方法中，將代碼指紋屬性生成代碼指紋具體為：待檢測腳本文件中提取到的所有代碼指紋屬性組成的數組，即為待檢測腳本文件的代碼指紋。

所述的方法中，將所述代碼指紋與代碼指紋庫匹配，具體為：將所述代碼指紋與代碼指紋庫匹配，并計算匹配的代碼指紋的權值和，若權值和大于預設值，則匹配成功。

本發(fā)明還提出一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測系統(tǒng)，包括：

獲取模塊，用于獲取輸入的待檢測腳本文件；

指紋提取模塊，用于提取待檢測腳本文件中的代碼指紋屬性；

指紋生成模塊，用于將代碼指紋屬性生成代碼指紋；

匹配模塊，用于將所述代碼指紋與代碼指紋庫匹配，若匹配成功，則根據代碼指紋庫確定待檢測腳本文件來源，及待檢測腳本文件的惡意度；否則對待檢測腳本文件進行分析；

腳本分析模塊，用于分析待檢測腳本文件，若所述待檢測腳本分析結果為惡意，則將提取到的代碼指紋及代碼來源添加到代碼指紋庫；若所述待檢測腳本分析結果為非惡意，則放行所述待檢測腳本文件；

代碼指紋庫模塊，用于存儲代碼指紋庫。

所述的系統(tǒng)中，所述代碼指紋屬性為根據已知惡意腳本文件確定的代碼屬性，包括詞組縮寫、單詞拼寫、關鍵詞、函數命名及參數名。

所述的系統(tǒng)中，所述代碼指紋庫由已知惡意腳本文件確定的代碼指紋屬性、對應權值及惡意腳本文件來源組成。

所述的系統(tǒng)中，將代碼指紋屬性生成代碼指紋具體為：待檢測腳本文件中提取到的所有代碼指紋屬性組成的數組，即為待檢測腳本文件的代碼指紋。

所述的系統(tǒng)中，將所述代碼指紋與代碼指紋庫匹配，具體為：將所述代碼指紋與代碼指紋庫匹配，并計算匹配的代碼指紋的權值和，若權值和大于預設值，則匹配成功。

本發(fā)明的關鍵在于，通過提取腳本編寫特有的語法習慣、編寫特點等作為代碼指紋屬性，然后通過相關規(guī)則轉換為代碼指紋，再錄入代碼指紋庫。當遇到未知腳本代碼時，將提取到的代碼指紋，與代碼指紋庫進行匹配，再根據匹配到的來源的可信性進行惡意度的判定。

本發(fā)明方法相比傳統(tǒng)的啟發(fā)式檢測，不需要進行復雜的邏輯分析，也不需要虛擬環(huán)境來動態(tài)執(zhí)行腳本，而是采用基于代碼指紋，根據代碼來源的惡意性來進行啟發(fā)式檢測，可以有效的提高檢測的速度、準確度等。

附圖說明

為了更清楚地說明本發(fā)明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發(fā)明一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測方法實施例流程圖；

圖2為本發(fā)明一種基于代碼指紋識別的惡意腳本啟發(fā)式檢測系統(tǒng)實施例結構示意圖。