CN110086811A - 一种恶意脚本检测方法及相关装置 - Google Patents
一种恶意脚本检测方法及相关装置 Download PDFInfo
- Publication number
- CN110086811A CN110086811A CN201910356946.4A CN201910356946A CN110086811A CN 110086811 A CN110086811 A CN 110086811A CN 201910356946 A CN201910356946 A CN 201910356946A CN 110086811 A CN110086811 A CN 110086811A
- Authority
- CN
- China
- Prior art keywords
- script
- detected
- similarity
- malicious
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种恶意脚本检测方法,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外,通过计算待检测脚本的内容与预设恶意特征之间的相似度,可以确定待检测脚本本身的检测结果,从而可以有效避免使用正常源地址发送恶意脚本的情况,使检测结果更加准确。本申请还提供了一种恶意脚本检测系统、装置及计算机可读存储介质,同样可以实现上述技术效果。
Description
技术领域
本发明涉及信息安全领域,更具体地说,涉及一种恶意脚本检测方法、系统、装置及计算机可读存储介质。
背景技术
目前安全事件越发普遍,新的攻击方式也层出不穷,因此一个有效的安全检测手段是信息领域的一个基础的需求。现有的安全检测手段通常是在本地安装病毒查杀的软件,对本地已存的恶意程序、文件进行检测。
如钓鱼邮件、恶意链接等攻击手段,是在用户触发了邮件附件或者点击了恶意连接后,就会被传输一些可执行的恶意脚本文件,脚本文件中包括可执行命令,当脚本文件被传输到目标主机后,其中的可执行命令就会开始执行,从而完成目标主机的入侵。因此就导致目标主机的恶意查杀软件还没有来得及查出该文件的问题时,目标主机就已经被入侵的问题。
因此就需要对恶意脚本文件到达目标主机之前就做出有效的检测。目前的网关黑白名单技术虽然可以对可疑流量进行拦截,但是拦截的机制都是基于IP地址或端口号的,如果一个正常合法的IP地址向目标主机传输了恶意脚本文件,将无法实现有效的检测。
因此,如何在恶意脚本文件到达目标主机之前就做出有效的检测,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种恶意脚本检测方法、系统、装置及计算机可读存储介质,以解决现有技术中无法在在恶意脚本文件到达目标主机之前就做出有效检测的问题。
为实现上述目的,本发明实施例提供了如下技术方案:
一种恶意脚本检测方法,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;
计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;
利用所述相似度确定所述待检测脚本的检测结果。
可选地,所述计算所述待检测脚本内容与预设恶意特征的相似度,包括:
利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
可选地,所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
可选地,所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
可选地,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
确定用于请求获取所述可疑脚本的URL;
判断所述URL是否为危险URL;
若是,则确定所述可疑脚本为恶意脚本。
可选地,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
利用沙箱执行所述可疑脚本;
判断所述执行结果是否为恶意结果;
若是,则确定所述可疑脚本为恶意脚本。
可选地,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
可选地,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。
可选地,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
为解决上述技术问题,本申请还提供了一种恶意脚本检测系统,包括:
待检测脚本确定模块,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;
相似度计算模块,用于计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;
检测结果确定模块,用于利用所述相似度确定所述待检测脚本的检测结果。
可选地,所述相似度计算模块,具体用于利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
可选地,所述检测结果确定模块,具体用于确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
可选地,所述检测结果确定模块,具体用于确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
可选地,所述系统还包括:
URL确定模块,用于确定用于请求获取所述可疑脚本的URL;
第一判断模块,用于判断所述URL是否为危险URL;
第一恶意脚本确定模块,用于所述URL是否为危险URL时,确定所述可疑脚本为恶意脚本。
可选地,所述系统还包括:
执行模块,用于利用沙箱执行所述可疑脚本;
第二判断模块,用于判断所述执行结果是否为恶意结果;
第二恶意脚本确定模块,用于所述执行结果为恶意结果时,确定所述可疑脚本为恶意脚本。
可选地,所述待检测脚本确定模块,包括:
第一文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第一待检测脚本确定单元,用于利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
可选地,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。
可选地,所述待检测脚本确定模块,包括:
第二文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第二待检测脚本确定单元,用于对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
为解决上述技术问题,本申请还提供了一种恶意脚本检测装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如任一项所述恶意脚本检测方法的步骤。
为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如任一项所述恶意脚本检测方法的步骤。
通过以上方案可知,本发明提供的一种恶意脚本检测方法,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。
由此可见,本申请实施例提供的一种恶意脚本检测方法,在将要传输至目标主机的HTTP流量中确定出待检测脚本,从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外,为了能够使检测结果更加准确,本申请不再是检测发送该流量的源地址信息是否有问题,而是对流量本身进行检测,通过计算待检测脚本的内容与预设恶意特征之间的相似度,可以确定待检测脚本本身的检测结果,从而可以有效避免使用正常源地址发送恶意脚本的情况,使检测结果更加准确。本申请还提供了一种恶意脚本检测系统、装置及计算机可读存储介质,同样可以实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种恶意脚本检测方法流程图;
图2为本发明实施例公开的一种具体的恶意脚本检测方法流程图;
图3为本发明实施例公开的一种具体的恶意脚本检测方法流程图;
图4为本发明实施例公开的一种恶意脚本检测系统结构示意图;
图5为本发明实施例公开的一种恶意脚本检测装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种恶意脚本检测方法、系统、装置及计算机可读存储介质,以解决现有技术中无法在在恶意脚本文件到达目标主机之前就做出有效检测的问题。
参见图1,本发明实施例提供的一种恶意脚本检测方法,具体包括:
S101,提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本。
目前的攻击方法,通常是以HTTP协议将恶意脚本文件传输到目标主机的,因此在本方案中,为了能够在恶意文件到达目标主机前就将其检测出来,本方案需要提取将要传输至目标主机的HTTP流量,并在HTTP流量中确定需要检测的内容,也就是待检测脚本。
具体地,利用安全感知设备即可从当前流量中提取将要传输至目标主机的HTTP流量,在提取到的HTTP流量中确定文件数据,作为待检测脚本。
需要说明的是,只有包括执行命令的脚本文件才能够实现对目标主机的攻击,但是HTTP流量中也会包括其他没有执行命令的文件,这些文件则没有必要进行检测。因此为了提高检测的效率,本方案中可以先对HTTP流量进行筛选,筛选出有可能是恶意脚本的文件,并将这些文件作为待检测脚本进行后续的检测操作。
S102,计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征。
在本方案中,为了能够保证检测结果的准确性,本方案中不再是对流量的源IP地址或者端口进行检测,而是对流量的内容进行检测。
预设恶意特征是预先对搜集的大量恶意脚本进行特征提取得到的恶意特征。恶意特征提取的操作具体可以参考以下步骤:
首先对搜集到的现有恶意脚本按照功能进行分类,具体可以根据当前主流的脚本攻击形式进行分类,在本方案中不做具体限定,例如分为下载类、Pwershell类、挖矿类、敏感操作类。
在完成分类后,以类为单位对每一类的现有恶意脚本进行特征的提取。首先对现有恶意脚本进行关键字梳理,确定其中包括哪些主要的关键字,然后对脚本中每一条命令进行语法分析,得出对应每条命令的语法规则,然后结合语法规则以及关键字得出预设恶意特征。
例如,原始命令为:
wget–p/temp/http:www.sangfor.com/virus/demo/xmrige.sh
其中,wget为系统命令,–p、/temp/为参数选项、http:www.sangfor.com为url、virus/demo/xmrige.sh为参数选项。
wget是一个下载命令,病毒脚本通常可以利用wget命令进行恶意程序的下载,则可以认为wget为关键字,相应的命令的语法为:
系统命令+参数选项+url+参数选项,对该命令提取出的特征就可以认为是wget+参数选项+url+参数选项,当然,关键字、语法规则本身也可以单独作为一种特征。
预设恶意特征除了上述针对命令的预设恶意特征外,还可以包括针对整个文件的预设恶意特征,具体确定方法可以参考上述操作,将上述文件中的命令替换为整个文件即可。需要说明的是,上述预设恶意特征提取的操作仅为示例说明,在具体实施过程中也可以选用其他特征提取方式进行,在本方案中不做具体限定。
在确定预设恶意特征后,即可计算待检测脚本的内容和预设恶意特征之间的相似度。需要说明的是,一般恶意脚本中通常会包括多条命令,因此在进行相似度计算时可以对待检测脚本中的每一条命令均进行单独计算,具体地,将每一条命令均与针对命令的预设恶意特征进行相似度计算,然后综合该脚本中每一条命令的相似度计算结果,得到该待检测脚本的相似度;同样也可以将整个待检测脚本与上述针对文件的预设恶意特征进行对比,得到待检测脚本的相似度。
S103,利用所述相似度确定所述待检测脚本的检测结果。
当待检测脚本与预设恶意特征之间的相似度计算出来后,即可利用相似度来确定检测结果。可以理解的是,待检测脚本与恶意特征之间的相似度越高则说明其为恶意脚本的可能性越大。检测结果的具体确认方法在本方案中不做具体限定,将在下述实施例中进行具体介绍。
由此可见,本申请实施例提供的一种恶意脚本检测方法,在将要传输至目标主机的HTTP流量中确定出待检测脚本,以对待检测脚本进行检测,从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外,为了能够使检测结果更加准确,本申请不再是检测发送该流量的源地址信息是否有问题,而是对流量本身进行检测,通过计算待检测脚本的内容与预设恶意特征之间的相似度,可以确定待检测脚本本身的检测结果,从而可以有效避免使用正常源地址发送恶意脚本的情况,使检测结果更加准确。
目前计算相似度的算法已经非常普及,而且算法种类众多,本申请中待检测脚本与预设恶意特征之间的相似度,属于字符串之间的相似度,因此可以选用计算字符串之间相似度的算法,例如编辑距离(edit distance)、余弦相似性(cosine similarity)、heckel算法等。每一种算法的计算原理都有所差异,计算结果也会有所不同,目前也没有一种完全准确且适用于所有数据的相似度计算算法,可能对于同一组数据,有的算法计算结果的误差较大,有的算法误差就会较小。因此,为了使相似度的计算结果与实际的相似情况更加贴近,本实施例在上述实施例的基础上,对所述S102做出进一步的限定与说明。具体地,所述计算所述待检测脚本内容与预设恶意特征的相似度,包括:
利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
在本方案中,优选使用两种或者两种以上的相似度计算方法来分别计算待检测脚本内容与预设恶意特征之间的相似度,然后再综合每种算法对应的相似度计算结果,例如可以取每种算法对应的相似度计算结果的平均值,作为最终的结果。
本申请实施例采用至少两种不同类型的相似度计算方法来进行相似度的计算,并综合每种算法对应的计算结果作为最终相似度,可以降低采用一种算法计算时,由于误差较大导致的对最终结果准确性的影响。
在上述实施例的基础上,本申请对上述实施例做出进一步的限定与说明,具体如下:
所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
本方案中,可以根据实际情况设定一个第一预设阈值,同于这个阈值来判定哪些待检测脚本时恶意脚本。当一个待检测脚本与预设恶意特征之间的相似度大于或等于第一预设阈值时,可以认定当前待检测脚本为恶意脚本。
需要说明的是,为了保证目标主机的安全性,当确定待检测脚本为恶意脚本时,即可对恶意脚本进行拦截,使其不能被传输到目标主机。
在上述实施例的基础上,本申请对上述实施例做出进一步的限定与说明,具体如下:
所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
在本方案中,可以根据实际情况设置两个阈值,第一预设阈值用于确定哪些待检测脚本一定是恶意脚本,第二预设阈值用于确定哪些待检测脚本为可疑的脚本。
第二预设阈值一般小于第一预设阈值,确定相似度大于或等于第二预设阈值并小于第一预设阈值的待检测脚本为可疑脚本。
在一个优选的实施方式中,还可以对可以脚本进行进一步的检测,从而验证其是否真的是恶意脚本。
具体地,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
确定用于请求获取所述可疑脚本的URL;
判断所述URL是否为危险URL;
若是,则确定所述可疑脚本为恶意脚本。
在本方案中,如果待检测脚本被确定为可疑脚本后,可以进一步采用其他方式对可疑脚本进行检测。目前,威胁情报技术已较为成熟,利用威胁情报技术,可以确定出哪些URL(统一资源定位符)是可以的恶意URL,例如,威胁情报技术可以确定哪些URL是钓鱼连接。本方案中可疑脚本的传输情况可能是目标主机通过点击某个URL后,该URL对应的主机会请求将恶意脚本发送至目标主机。因此,可以确定请求获取可疑脚本的URL判断该URL是否为危险URL,如果这个URL是危险的URL,且待检测脚本也是可疑脚本,则可以确定可疑脚本为恶意脚本。
在另一个优选的实施方式中,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
利用沙箱执行所述可疑脚本;
判断所述执行结果是否为恶意结果;
若是,则确定所述可疑脚本为恶意脚本。
在本方案中,可以采用另一种方式对可疑脚本进行进一步的检测。
利用沙箱执行可疑脚本,如果沙箱执行可以脚本后得到的结果属于恶意结果,则直接确定当前可疑脚本是恶意脚本。
需要说明的是,沙箱是一个虚拟系统程序,允许在沙箱环境中运行浏览器或其他程序,运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
下面对本申请实施例提供的一种具体的恶意脚本检测方法进行介绍,本申请实施例与上述任一实施例可以相互参照。
参见图2,本申请实施例对上述实施例中S101做出了进一步限定与说明,所述S102具体包括:
S201,提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据。
S202,利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
如上述实施例所述,只有包括执行命令的脚本文件才能够实现对目标主机的攻击,但是HTTP流量中也会包括其他没有执行命令的文件,这些文件则没有必要进行检测。因此为了提高检测的效率,本方案中可以先对HTTP流量进行筛选,筛选出有可能是恶意脚本的文件,并将这些文件作为待检测脚本进行后续的检测操作。在本方案中,采用白名单机制来完成HTTP流量的初步筛选。
在白名单中预先设置一些肯定不会是恶意脚本的文件类型,然后将HTTP流量中的文件数据与白名单进行比对,如果是白名单中的文件类型,则不进行后续的检测操作,直接将相应的流量放行。
在白名单的基础上,还可以进一步设定黑名单和灰名单,根据实际情况在黑名单中设置嫌疑较大的文件类型,如vbs、sh、psl这一类恶意脚本常用的文件类型,满足黑名单的HTTP流量将被作为待检测脚本执行后续的检测操作。灰名单中则可以设置既可能是恶意脚本又可能是非恶意脚本的文件类型,满足灰名单的HTTP流量可以结合对应的源IP地址的安全情况、HTTP请求头信息的安全情况进一步判定是直接放行还是作为待检测脚本进行后续检测操作,具体操作内容均可以根据实际情况来设定,在本方案中不做具体限定。
本方案中,首先对HTTP流量进行一个简单的筛选,从而筛选出没有必要进行后续相似度计算操作的流量,直接放行,从而可以减少进行相似度计算操作的数据量,可以大大提高检测的效率。
下面对本申请实施例提供的一种具体的恶意脚本检测方法进行介绍,本申请实施例与上述任一实施例可以相互参照。
参见图3,本申请实施例对上述实施例中S101做出了进一步限定与说明,所述S102具体包括:
S301,提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据。
S302,对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
除了通过文件类型对HTTP流量进行筛选,还可以通过文件的内容进行筛选,判断文件内容是否符合脚本代码特征,如果符合,再进行后续的检测,如果不符合,则直接放行。
具体可以通过计算文件数据的信息熵,如果信息熵过高,则证明文件数据中的信息字母排列是无序的,没有有效的信息,则可以判定一般不符合代码规则,因此这种文件数据将不会作为待检测脚本。
还可以通过确定代码语言特征,将文件内容与代码语言特征进行比对,如果相符,则将对应的文件作为待检测脚本,否则将对应的文件数据直接放行。
下面对本申请实施例提供的一种恶意脚本检测系统进行介绍,下文描述的一种恶意脚本检测系统与上述任一实施例可以相互参照。
参见图4,本申请实施例提供的一种恶意脚本检测系统,具体包括:
待检测脚本确定模块401,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本。
相似度计算模块402,用于计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征。
检测结果确定模块403,用于利用所述相似度确定所述待检测脚本的检测结果。
可选地,所述相似度计算模块402,具体用于利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
可选地,所述检测结果确定模块403,具体用于确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
可选地,所述检测结果确定模块403,具体用于确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
可选地,所述系统还包括:
URL确定模块,用于确定用于请求获取所述可疑脚本的URL;
第一判断模块,用于判断所述URL是否为危险URL;
第一恶意脚本确定模块,用于所述URL是否为危险URL时,确定所述可疑脚本为恶意脚本。
可选地,所述系统还包括:
执行模块,用于利用沙箱执行所述可疑脚本;
第二判断模块,用于判断所述执行结果是否为恶意结果;
第二恶意脚本确定模块,用于所述执行结果为恶意结果时,确定所述可疑脚本为恶意脚本。
可选地,所述待检测脚本确定模块401,包括:
第一文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第一待检测脚本确定单元,用于利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
可选地,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。
可选地,所述待检测脚本确定模块401,包括:
第二文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第二待检测脚本确定单元,用于对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
本实施例的恶意脚本检测系统用于实现前述的恶意脚本检测方法,因此恶意脚本检测系统中的具体实施方式可见前文中的恶意脚本检测方法的实施例部分,例如,待检测脚本确定模块401,相似度计算模块402,检测结果确定模块403,分别用于实现上述恶意脚本检测方法中步骤S101,S102,S103,所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再赘述。
下面对本申请实施例提供的一种恶意脚本检测装置进行介绍,下文描述的一种恶意脚本检测装置与上述任一实施例可以相互参照。
参见图5,本申请实施例提供的一种恶意脚本检测装置,具体包括:
存储器100,用于存储计算机程序;
处理器200,用于执行所述计算机程序时可以实现上述实施例所提供的步骤。
具体的,存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令,该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200为恶意脚本检测装置提供计算和控制能力,可以实现上述任一恶意脚本检测方法实施例所提供的步骤。
在上述实施例的基础上,作为优选实施方式,所述恶意脚本检测装置还包括:
输入接口300,用于获取外部导入的计算机程序、参数和指令,经处理器控制保存至存储器中。该输入接口300可以与输入装置相连,接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是键盘、触控板或鼠标等。具体的,在本实施例中,用户可以通过输入接口300添加恶意脚本检测过程所需要的预设恶意特征等信息。
显示单元400,用于显示处理器发送的数据。该显示单元400可以为PC机上的显示屏、液晶显示屏或者电子墨水显示屏等。具体的,在本实施例中,显示单元400可以显示恶意脚本检测装置的检测结果等信息。
网络端口500,用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术,如移动高清链接技术(MHL)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。具体的,在本实施例中,该网络端口500可以接收将要传输至目标主机的HTTP流量,也可以发送放行的HTTP流量。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (20)
1.一种恶意脚本检测方法,其特征在于,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;
计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;
利用所述相似度确定所述待检测脚本的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述计算所述待检测脚本内容与预设恶意特征的相似度,包括:
利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
3.根据权利要求1所述的方法,其特征在于,所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
4.根据权利要求3所述的方法,其特征在于,所述利用所述相似度确定所述待检测脚本的检测结果,包括:
确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
5.根据权利要求4所述的方法,其特征在于,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
确定用于请求获取所述可疑脚本的URL;
判断所述URL是否为危险URL;
若是,则确定所述可疑脚本为恶意脚本。
6.根据权利要求4所述的方法,其特征在于,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:
利用沙箱执行所述可疑脚本;
判断所述执行结果是否为恶意结果;
若是,则确定所述可疑脚本为恶意脚本。
7.根据权利要求1至6任意一项所述的方法,其特征在于,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
8.根据权利要求7所述的方法,其特征在于,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。
9.根据权利要求1至6任意一项所述的方法,其特征在于,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:
提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
10.一种恶意脚本检测系统,其特征在于,包括:
待检测脚本确定模块,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;
相似度计算模块,用于计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;
检测结果确定模块,用于利用所述相似度确定所述待检测脚本的检测结果。
11.根据权利要求10所述的系统,其特征在于,所述相似度计算模块,具体用于利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。
12.根据权利要求10所述的系统,其特征在于,所述检测结果确定模块,具体用于确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。
13.根据权利要求12所述的系统,其特征在于,所述检测结果确定模块,具体用于确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。
14.根据权利要求12所述的系统,其特征在于,所述系统还包括:
URL确定模块,用于确定用于请求获取所述可疑脚本的URL;
第一判断模块,用于判断所述URL是否为危险URL;
第一恶意脚本确定模块,用于所述URL是否为危险URL时,确定所述可疑脚本为恶意脚本。
15.根据权利要求12所述的系统,其特征在于,所述系统还包括:
执行模块,用于利用沙箱执行所述可疑脚本;
第二判断模块,用于判断所述执行结果是否为恶意结果;
第二恶意脚本确定模块,用于所述执行结果为恶意结果时,确定所述可疑脚本为恶意脚本。
16.根据权利要求10至15任意一项所述的系统,其特征在于,所述待检测脚本确定模块,包括:
第一文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第一待检测脚本确定单元,用于利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。
17.根据权利要求16所述的系统,其特征在于,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。
18.根据权利要求10至15所述的系统,其特征在于,所述待检测脚本确定模块,包括:
第二文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;
第二待检测脚本确定单元,用于对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。
19.一种恶意脚本检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述恶意脚本检测方法的步骤。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述恶意脚本检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910356946.4A CN110086811B (zh) | 2019-04-29 | 2019-04-29 | 一种恶意脚本检测方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910356946.4A CN110086811B (zh) | 2019-04-29 | 2019-04-29 | 一种恶意脚本检测方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110086811A true CN110086811A (zh) | 2019-08-02 |
CN110086811B CN110086811B (zh) | 2022-03-22 |
Family
ID=67417845
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910356946.4A Active CN110086811B (zh) | 2019-04-29 | 2019-04-29 | 一种恶意脚本检测方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110086811B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708308A (zh) * | 2019-09-29 | 2020-01-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 |
CN112001533A (zh) * | 2020-08-06 | 2020-11-27 | 众安信息技术服务有限公司 | 一种参数的检测方法、装置及计算机系统 |
CN112632545A (zh) * | 2020-12-31 | 2021-04-09 | 北京知道创宇信息技术股份有限公司 | 数据检测方法、装置及电子设备 |
CN113051565A (zh) * | 2021-03-16 | 2021-06-29 | 深信服科技股份有限公司 | 恶意脚本的检测方法及装置、设备、存储介质 |
CN113890763A (zh) * | 2021-09-30 | 2022-01-04 | 广东云智安信科技有限公司 | 一种基于多维空间向量聚集的恶意流量检测方法及系统 |
CN115086060A (zh) * | 2022-06-30 | 2022-09-20 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN102801719A (zh) * | 2012-08-08 | 2012-11-28 | 中国人民解放军装备学院 | 基于主机流量功率谱相似性度量的僵尸网络检测方法 |
CN103369555A (zh) * | 2012-04-01 | 2013-10-23 | 西门子公司 | 一种用于检测手机病毒的方法和装置 |
CN103425931A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种网页异常脚本检测方法及系统 |
CN106845227A (zh) * | 2016-12-27 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种基于ragel状态机的恶意脚本检测方法及系统 |
CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
CN108959925A (zh) * | 2018-06-22 | 2018-12-07 | 珠海市君天电子科技有限公司 | 一种恶意脚本的检测方法、装置、电子设备及存储介质 |
CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
-
2019
- 2019-04-29 CN CN201910356946.4A patent/CN110086811B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN103369555A (zh) * | 2012-04-01 | 2013-10-23 | 西门子公司 | 一种用于检测手机病毒的方法和装置 |
CN102801719A (zh) * | 2012-08-08 | 2012-11-28 | 中国人民解放军装备学院 | 基于主机流量功率谱相似性度量的僵尸网络检测方法 |
CN103425931A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种网页异常脚本检测方法及系统 |
CN106845227A (zh) * | 2016-12-27 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种基于ragel状态机的恶意脚本检测方法及系统 |
CN108092962A (zh) * | 2017-12-08 | 2018-05-29 | 北京奇安信科技有限公司 | 一种恶意url检测方法及装置 |
CN108959925A (zh) * | 2018-06-22 | 2018-12-07 | 珠海市君天电子科技有限公司 | 一种恶意脚本的检测方法、装置、电子设备及存储介质 |
CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708308A (zh) * | 2019-09-29 | 2020-01-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 |
CN110708308B (zh) * | 2019-09-29 | 2021-08-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 |
CN112001533A (zh) * | 2020-08-06 | 2020-11-27 | 众安信息技术服务有限公司 | 一种参数的检测方法、装置及计算机系统 |
CN112632545A (zh) * | 2020-12-31 | 2021-04-09 | 北京知道创宇信息技术股份有限公司 | 数据检测方法、装置及电子设备 |
CN113051565A (zh) * | 2021-03-16 | 2021-06-29 | 深信服科技股份有限公司 | 恶意脚本的检测方法及装置、设备、存储介质 |
CN113051565B (zh) * | 2021-03-16 | 2024-05-28 | 深信服科技股份有限公司 | 恶意脚本的检测方法及装置、设备、存储介质 |
CN113890763A (zh) * | 2021-09-30 | 2022-01-04 | 广东云智安信科技有限公司 | 一种基于多维空间向量聚集的恶意流量检测方法及系统 |
CN113890763B (zh) * | 2021-09-30 | 2024-05-03 | 广东云智安信科技有限公司 | 一种基于多维空间向量聚集的恶意流量检测方法及系统 |
CN115086060A (zh) * | 2022-06-30 | 2022-09-20 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
CN115086060B (zh) * | 2022-06-30 | 2023-11-07 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110086811B (zh) | 2022-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110086811A (zh) | 一种恶意脚本检测方法及相关装置 | |
US10887328B1 (en) | System and method for detecting interpreter-based exploit attacks | |
EP3014514B1 (en) | Zero-day discovery system | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
US8701192B1 (en) | Behavior based signatures | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
EP2642715A1 (en) | Method and system for malicious code detection | |
CN103065091B (zh) | 用恶意软件检测扩充系统还原 | |
CN105718825B (zh) | 一种恶意usb设备的检测方法及装置 | |
US20170093892A1 (en) | System and method for generating sets of antivirus records for detection of malware on user devices | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
US11019096B2 (en) | Combining apparatus, combining method, and combining program | |
EP3136276A1 (en) | System and method for detecting harmful files executable on a virtual stack machine | |
CN110941823B (zh) | 威胁情报获取方法及装置 | |
US20140223560A1 (en) | Malware detection via network information flow theories | |
CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
CN111291372A (zh) | 一种基于软件基因技术对终端设备文件检测的方法及装置 | |
US20170237751A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
CN103095714A (zh) | 一种基于木马病毒种类分类建模的木马检测方法 | |
KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
CN113852623B (zh) | 一种病毒工控行为检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |