本發(fā)明實(shí)施例公開了一種惡意腳本檢測(cè)方法、設(shè)備及存儲(chǔ)介質(zhì)，包括：獲取待檢測(cè)文件；對(duì)所述待檢測(cè)文件進(jìn)行文本識(shí)別，得到待檢測(cè)文本；檢測(cè)所述待檢測(cè)文本是否存在至少一個(gè)特定行為特征；若存在，則對(duì)所述至少一個(gè)特定行為特征進(jìn)行關(guān)聯(lián)規(guī)則挖掘處理，確定出滿足預(yù)設(shè)條件的關(guān)聯(lián)行為特征組合，所述預(yù)設(shè)條件為所述行為特征組合的最小支持度和最小可信度；獲取所述關(guān)聯(lián)行為特征組合對(duì)應(yīng)的評(píng)分結(jié)果；基于所述評(píng)分結(jié)果，判斷所述待檢測(cè)文件是否為惡意腳本。通過對(duì)待檢測(cè)文件進(jìn)行文本識(shí)別，杜絕了惡意腳本偽造后綴的行為，通過對(duì)待檢測(cè)文件行為特征進(jìn)行關(guān)聯(lián)分析，對(duì)惡意腳本的判斷具有更好的解釋性，并降低了誤報(bào)的技術(shù)效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種惡意腳本檢測(cè)方法、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著當(dāng)前反病毒技術(shù)的日趨成熟，傳統(tǒng)的PE病毒越來越難以滲透進(jìn)宿主網(wǎng)絡(luò)，常常被AF、WAF等網(wǎng)關(guān)安全設(shè)備阻擋。因此越來越多的網(wǎng)絡(luò)攻擊開始利用惡意腳本進(jìn)行免殺繞過(bypass)，因?yàn)榇蟛糠值陌踩a(chǎn)品對(duì)純文本類的文件沒有檢測(cè)能力，往往采取放行的策略，使其達(dá)到入侵用戶主機(jī)的效果。

現(xiàn)有技術(shù)主要采取以下方式防范此類攻擊方式：

1.在網(wǎng)絡(luò)出口處部署防火墻、病毒網(wǎng)關(guān)、沙箱等設(shè)備監(jiān)控外來流量并進(jìn)行查殺。

2.終端機(jī)器上安裝殺毒軟件進(jìn)行全盤監(jiān)控查殺。

但這兩種方式存在如下缺點(diǎn)導(dǎo)致無法對(duì)惡意腳本攻擊行為進(jìn)行有效的識(shí)別：

1.腳本是純文本文件，多數(shù)防火墻和病毒網(wǎng)關(guān)無檢測(cè)能力而采取放行策略，具備天然繞過的能力。

2.多數(shù)惡意腳本存在偽造后綴的行為，導(dǎo)致文件格式識(shí)別困難，沙箱等設(shè)備也無法進(jìn)行有效識(shí)別。

3.多數(shù)Downloader惡意腳本會(huì)去拉取互聯(lián)網(wǎng)病毒在內(nèi)存里執(zhí)行，病毒母體不會(huì)保存到受害者磁盤上，因此即使裝了殺毒軟件也無法正確查殺到(即典型的無文件攻擊)。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明實(shí)施例期望提供一種惡意腳本檢測(cè)方法，能夠?qū)δ_本文件的行為特征進(jìn)行關(guān)聯(lián)分析，進(jìn)而判定腳本文件是否為惡意腳本，同時(shí)能夠?qū)Ω郊昴_本進(jìn)行檢測(cè)，實(shí)現(xiàn)了對(duì)無文件攻擊場(chǎng)景的防護(hù)。

本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種惡意腳本檢測(cè)方法，其特征在于，所述方法包括：

獲取待檢測(cè)文件；

對(duì)所述待檢測(cè)文件進(jìn)行文本識(shí)別，得到待檢測(cè)文本；

檢測(cè)所述待檢測(cè)文本是否存在至少一個(gè)特定行為特征；若存在，則對(duì)所述至少一個(gè)特定行為特征進(jìn)行關(guān)聯(lián)規(guī)則挖掘處理，確定出滿足預(yù)設(shè)條件的關(guān)聯(lián)行為特征組合，所述預(yù)設(shè)條件為所述行為特征組合的最小支持度和最小可信度；

獲取所述關(guān)聯(lián)行為特征組合對(duì)應(yīng)的評(píng)分結(jié)果；

基于所述評(píng)分結(jié)果，判斷所述待檢測(cè)文件是否為惡意腳本。

在本申請(qǐng)的一些實(shí)施例中，所述對(duì)所述待檢測(cè)文件進(jìn)行文本識(shí)別，得到待檢測(cè)文本，包括：

識(shí)別所述待檢測(cè)文件的后綴名是否為腳本類文檔的后綴名；

若是，則將所述待檢測(cè)文件以腳本類文檔的后綴名對(duì)應(yīng)的文件格式打開，得到所述待檢測(cè)文本；

若否，則將所述待檢測(cè)文件以純文本文件格式打開，得到所述待檢測(cè)文本。

在本申請(qǐng)的一些實(shí)施例中，所述特定行為特征包括：

變量替換、字串長(zhǎng)度異常、發(fā)送郵件、系統(tǒng)調(diào)用、創(chuàng)建對(duì)象、發(fā)起網(wǎng)絡(luò)請(qǐng)求、讀寫文件或編碼混淆中的至少一個(gè)。