1.一種基于詞法分析的混淆加密腳本識別方法，其步驟包括：

1)在檢測之前，以現有的人類語言單詞集合為基礎，結合網絡上隨機采集的非惡意的大數據腳本文件進行訓練，生成適用于腳本語言的單詞詞典；

2)在檢測之前，對網絡上隨機采集的非惡意的另一批大數據腳本文件進行詞法覆蓋率檢測，確定非惡意腳本文件的詞法覆蓋率的最低閾值，同時統計這批腳本文件的注釋量與代碼量的比例，確定非惡意腳本文件的注釋比例的最高閾值；

3)在實際檢測中，對待測樣本進行詞法分析與注釋量分析，通過評估其詞法覆蓋率是否低于所述最低閾值或注釋比例是否高于所述最高閾值，判定其是否為經過混淆加密的惡意腳本；

其中，步驟2)和步驟3)中詞法覆蓋率的計算方法為：分析樣本文件中的每個單詞，計算在腳本詞典中的單詞數量與不在腳本詞典中的單詞數量的比值，即詞法覆蓋率；

其中，步驟2)中的詞法覆蓋率閾值的確定方法為：在閾值訓練階段，針對訓練集中的所有樣本計算詞法覆蓋率，并選擇其中的最小值作為閾值；

其中，步驟2)和步驟3)中的注釋比例的計算方法為：分析樣本文件中的每個單詞，計算用于注釋的單詞數量與用于代碼的單詞數量的比值，即注釋比例；

其中，步驟2)中的注釋比例閾值的確定方法為：在閾值訓練階段，針對訓練集中的所有樣本計算注釋比例，并選擇其中的最大值作為閾值；

其中，步驟3)包括以下步驟：

3.1)輸入詞典訓練階段形成的腳本詞典、閾值訓練階段形成的詞法覆蓋率閾值與注釋代碼比閾值，并準備待檢測的腳本樣本集；

3.2)選擇一個待檢測的腳本樣本文件，統計其中有多少單詞在腳本詞典中，有多少單詞不在腳本詞典中，并計算這兩種單詞的數量比值，作為該樣本的詞法覆蓋率；

3.3)對于步驟3.2)中計算出的詞法覆蓋率，如果低于詞法覆蓋率閾值，則判定該樣本為經過混淆加密的惡意腳本文件，并將檢測結果報告給用戶；

3.4)對于步驟3.2)中計算出的詞法覆蓋率，如果高于詞法覆蓋率閾值，則統計該樣本中有多少單詞用于注釋，有多少單詞用于代碼，并計算這兩種單詞的數量比值，作為該樣本的注釋代碼比；

3.5)對于步驟3.4)中計算出的注釋代碼比，如果高于注釋代碼閾值，則判定該樣本為經過混淆加密的惡意腳本文件，并將檢測結果報告給用戶；

3.6)如果步驟3.2)中計算出的詞法覆蓋率高于詞法覆蓋率閾值，且步驟3.4)中計算出的注釋代碼比低于注釋代碼比閾值，則判定該樣本為明文腳本，以插件的形式調用線程的惡意腳本檢測方法對其進行檢測，并向用戶報告檢測結果。