[發明專利]一種惡意腳本檢測方法、設備及存儲介質有效
| 申請號: | 202010181261.3 | 申請日: | 2020-03-16 |
| 公開(公告)號: | CN111416812B | 公開(公告)日: | 2022-06-21 |
| 發明(設計)人: | 楊玉華;蒲大峰 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京派特恩知識產權代理有限公司 11270 | 代理人: | 王軍紅;張穎玲 |
| 地址: | 518055 廣東省深圳市*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 惡意 腳本 檢測 方法 設備 存儲 介質 | ||
1.一種惡意腳本檢測方法,其特征在于,所述方法包括:
獲取待檢測文件;
對所述待檢測文件進行文本識別,得到待檢測文本;
檢測所述待檢測文本是否存在至少一個特定行為特征;若存在,則對所述至少一個特定行為特征進行關聯規則挖掘處理,確定出滿足預設條件的關聯行為特征組合,所述預設條件為所述行為特征組合的最小支持度和最小可信度;
獲取所述關聯行為特征組合對應的評分結果;
基于所述評分結果,判斷所述待檢測文件是否為惡意腳本;
其中,所述對所述待檢測文件進行文本識別,得到待檢測文本,包括:
對所述待檢測文件的文件格式識別,并基于識別結果得到所述待檢測文本。
2.根據權利要求1所述的方法,其特征在于,所述對所述待檢測文件進行文本識別,得到待檢測文本,包括:
識別所述待檢測文件的后綴名是否為腳本類文檔的后綴名;
若是,則將所述待檢測文件以腳本類文檔的后綴名對應的文件格式打開,得到所述待檢測文本;
若否,則將所述待檢測文件以純文本文件格式打開,得到所述待檢測文本。
3.根據權利要求1所述的方法,其特征在于,所述特定行為特征包括:
變量替換、字串長度異常、發送郵件、系統調用、創建對象、發起網絡請求、讀寫文件或編碼混淆中的至少一個。
4.根據權利要求1所述的方法,其特征在于,所述對所述至少一個特定行為特征進行關聯規則挖掘處理,確定出至少一個滿足預設條件的關聯行為特征組合,包括:
根據所述至少一個特定行為特征,得到至少一個期望行為特征組合;
獲取所述至少一個期望行為特征組合的支持度與可信度,根據所述支持度與可信度,從所述至少一個期望行為特征組合中確定出滿足所述預設條件的關聯行為特征組合。
5.根據權利要求4所述的方法,其特征在于,所述根據所述至少一個特定行為特征,得到至少一個期望行為特征組合,包括:
獲取所述待檢測文本的至少一個特定行為特征中每一特定行為特征出現的頻數;
根據所述每一特定行為特征出現的頻數,獲取至少一個特定行為特征同時出現的概率;
當所述概率大于預設值時,將與所述概率對應的至少一個特定行為特征的組合作為所述至少一個期望行為特征組合。
6.根據權利要求1所述的方法,其特征在于,所述獲取所述關聯行為特征組合對應的評分結果,包括:
根據預設特定行為特征,對所述特定行為特征進行評分,得到所述特定行為特征對應的評分;
對所述關聯行為特征組合中各所述特定行為特征的評分進行累加,得到所述關聯行為特征組合對應的評分結果。
7.根據權利要求1所述的方法,其特征在于,所述基于所述評分結果,判斷所述待檢測文件是否為惡意腳本,包括:
若存在至少一個所述評分結果滿足所述關聯規則對應的預設條件,則判定所述待檢測文件為惡意腳本;
若所述評分結果均不滿足所述關聯規則,則判定所述待檢測文件為可疑腳本。
8.一種惡意腳本檢測設備,其特征在于,所述設備包括:
第一獲取單元,獲取待檢測文件;
第一執行單元,對所述待檢測文件進行文本識別,得到待檢測文本;
第一檢測單元,檢測所述待檢測文本是否存在至少一個特定行為特征;若存在,則對所述至少一個特定行為特征進行關聯規則挖掘處理,確定出滿足預設條件的關聯行為特征組合,所述預設條件為所述行為特征組合的最小支持度和最小可信度;
第二獲取單元,獲取所述關聯行為特征組合對應的評分結果;
第二執行單元,基于所述評分結果,判斷所述待檢測文件是否為惡意腳本;
第一執行單元,對所述待檢測文件的文件格式識別,并基于識別結果得到所述待檢測文本。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010181261.3/1.html,轉載請聲明來源鉆瓜專利網。
