CN116611065A - 脚本的检测方法、深度学习模型的训练方法及装置 - Google Patents

脚本的检测方法、深度学习模型的训练方法及装置 Download PDF

Info

Publication number
CN116611065A
CN116611065A CN202310602320.3A CN202310602320A CN116611065A CN 116611065 A CN116611065 A CN 116611065A CN 202310602320 A CN202310602320 A CN 202310602320A CN 116611065 A CN116611065 A CN 116611065A
Authority
CN
China
Prior art keywords
sample
script
code
features
operation code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310602320.3A
Other languages
English (en)
Other versions
CN116611065B (zh
Inventor
张丽
杜悦艺
王鑫
朱欤
刘小凯
马永生
李遵双
魏绍乾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202310602320.3A priority Critical patent/CN116611065B/zh
Publication of CN116611065A publication Critical patent/CN116611065A/zh
Application granted granted Critical
Publication of CN116611065B publication Critical patent/CN116611065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Machine Translation (AREA)

Abstract

本公开提供了脚本的检测方法、深度学习模型的训练方法及装置,涉及计算机技术领域和人工智能技术领域,尤其涉及网络安全、深度学习技术领域。该脚本的检测方法的具体实现方案为:包括:对待检测脚本进行编译,得到操作码序列;提取待检测脚本的代码特征和操作码序列的语义特征;以及对代码特征和语义特征进行检测,得到检测结果,其中,检测结果表征待检测脚本是目标脚本的概率。

Description

脚本的检测方法、深度学习模型的训练方法及装置
技术领域
本公开涉及计算机技术领域和人工智能技术领域,尤其涉及网络安全、深度学习技术领域,具体涉及脚本的检测方法、深度学习模型的训练方法及装置。
背景技术
随着互联网技术在各个领域的广泛应用,网络安全也面临严峻的挑战。Webshell是一种以网页形式存在的命令执行脚本文件,也是网络安全领域中较为常见的网络攻击方式,通常以ASP(Active Server Pages)、PHP(Professional Hypertext Preprocessor)、JSP(Java Server Pages)或者CGI(Common Gateway Interface)等文件形式存在。因此,针对Webshell脚本文件的高效检测对网络安全十分重要。
发明内容
本公开提供了一种脚本的检测方法、深度学习模型的训练方法及装置。
根据本公开的一方面,提供了一种脚本的检测方法,包括:对待检测脚本进行编译,得到操作码序列;提取待检测脚本的代码特征和操作码序列的语义特征;以及对代码特征和语义特征进行检测,得到检测结果,其中,检测结果表征待检测脚本是目标脚本的概率。
根据本公开的另一方面,提供了一种深度学习模型的训练方法,包括:对样本脚本进行编译,得到样本操作码序列;提取样本脚本的样本代码特征和样本操作码序列的样本语义特征;对样本代码特征和样本语义特征进行检测,得到样本检测结果,其中,样本检测结果表征样本脚本是目标脚本的概率;基于损失函数,根据样本检测结果和样本标签,得到损失值;以及基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型。
根据本公开的另一方面,提供了一种脚本的检测装置,包括:第一编译模块、第一提取模块和第一检测模块。第一编译模块,用于对待检测脚本进行编译,得到操作码序列。第一提取模块,用于提取待检测脚本的代码特征和操作码序列的语义特征。第一检测模块,用于对代码特征和语义特征进行检测,得到检测结果,其中,检测结果表征待检测脚本是目标脚本的概率。
根据本公开的另一方面,提供了一种深度学习模型的训练装置,包括:第二编译模块、第三提取模块、第三检测模块、损失计算模块和调整模块。第二编译模块,用于对样本脚本进行编译,得到样本操作码序列。第三提取模块,用于提取样本脚本的样本代码特征和样本操作码序列的样本语义特征。第三检测模块,用于对样本代码特征和样本语义特征进行检测,得到样本检测结果,其中,样本检测结果表征样本脚本是目标脚本的概率。损失计算模块,用于基于损失函数,根据样本检测结果和样本标签,得到损失值。调整模块,用于基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与上述至少一个处理器通信连接的存储器;其中,上述存储器存储有可被上述至少一个处理器执行的指令,上述指令被上述至少一个处理器执行,以使上述至少一个处理器能够执行如上的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,上述计算机指令用于使上述计算机执行如上的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,上述计算机程序在被处理器执行时实现如上的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示意性示出了根据本公开实施例的可以应用脚本的检测方法或深度学习模型的训练方法及装置的示例性系统架构;
图2示意性示出了根据本公开实施例的脚本的检测方法的流程图;
图3示意性示出了根据本公开实施例的脚本的检测方法的示意图;
图4A示意性示出了根据本公开实施例的提取待检测脚本的多维度特征的示意图;
图4B示意性示出了根据本公开另一实施例的提取待检测脚本的多维度特征的示意图;
图5示意性示出了根据本公开实施例的提取操作码序列的语义特征的示意图;
图6示意性示出了根据本公开实施例的深度学习模型的训练方法的流程图;
图7示意性示出了根据本公开实施例的脚本的检测装置的框图;
图8示意性示出了根据本公开实施例的深度学习模型的训练装置的框图;以及
图9示意性示出了根据本公开实施例的适于实现脚本的检测方法或深度学习模型的训练方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
Webshell是一种以网页形式存在的命令执行脚本文件,通常由网页脚本语言编写。
相关技术中,对于Webshell脚本的检测方式主要包括以下三种:静态检测、动态检测和日志分析。
例如:静态检测通常是基于对Webshell脚本文件的关键词、文件修改时间、文件权限、文件所有者、危险函数等字段进行匹配,确定Webshell脚本文件是否是恶意脚本。但是,当Webshell脚本文件被混淆处理或加密处理之后,Webshell脚本文件中会出现大量的乱码,影响检测精度。
例如:动态检测通常是在Webshell脚本文件运行时,通过分析Webshell脚本执行过程中的动态特性,检测Webshell脚本文件是否是恶意脚本。
例如:日志分析通常是在Webshell脚本运行后,通过分析Web日志中Webshell脚本访问数据和数据提交的记录,确定Webshell脚本是否是恶意脚本。
由于动态检测和日志分析均是在Webshell脚本运行中或运行后才能得到检测结果,检测存在滞后性。
有鉴于此,本公开实施例提供了一种脚本的检测方法,通过对待检测脚本进行编译,得到操作码序列,提取待检测脚本的代码特征和操作码序列的语义特征;以及对代码特征和语义特征进行检测,得到检测结果。由于混淆处理或加密处理后的脚本文件中操作码的序列是不变的,待检测脚本的代码特征可以在一定程度上反映混淆处理或加密处理后的脚本文件的编写风格,因此,通过对操作码序列的语义特征和待检测脚本的代码特征进行检测,可以提高脚本的检测精度。
图1示意性示出了根据本公开实施例的可以应用脚本的检测方法或深度学习模型的训练方法及装置的示例性系统架构。
需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。例如,在另一实施例中,可以应用脚本的检测方法或深度学习模型的训练方法及装置的示例性系统架构可以包括终端设备,但终端设备可以无需与服务器进行交互,即可实现本公开实施例提供的脚本的检测方法或深度学习模型的训练方法及装置。
如图1所示,根据该实施例的系统架构100可以包括第一终端设备101、第二终端设备102、第三终端设备103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线和/或无线通信链路等等。
用户可以使用第一终端设备101、第二终端设备102、第三终端设备103通过网络104与服务器105交互,以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种通讯客户端应用,例如知识阅读类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端和/或社交平台软件等(仅为示例)。
第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用第一终端设备101、第二终端设备102、第三终端设备103所浏览的内容提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的脚本的检测方法或深度学习模型的训练方法一般可以由第一终端设备101、第二终端设备102、第三终端设备103执行。相应地,本公开实施例所提供的脚本的检测方法或深度学习模型的训练装置也可以设置于第一终端设备101、第二终端设备102、第三终端设备103中。
或者,本公开实施例所提供的脚本的检测方法或深度学习模型的训练方法一般也可以由服务器105执行。相应地,本公开实施例所提供的脚本的检测方法或深度学习模型的训练装置一般可以设置于服务器105中。本公开实施例所提供的脚本的检测方法或深度学习模型的训练方法也可以由不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的脚本的检测方法或深度学习模型的训练装置也可以设置于不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备1033和/或服务器105通信的服务器或服务器集群中。
例如,第一终端设备101、第二终端设备102、第三终端设备103可以获取待检测脚本,然后将获取的待检测脚本发送给服务器105,由服务器105对待检测脚本进行编译,得到操作码序列。然后,提取待检测脚本的代码特征和操作码序列的语义特征,并对代码特征和语义特征进行检测,得到检测结果。或者由能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群对待检测脚本进行编译,并最终得到检测结果。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
图2示意性示出了根据本公开实施例的脚本的检测方法或深度学习模型的训练方法的流程图。
如图2所示,该方法包括操作S210~S230。
在操作S210,对待检测脚本进行编译,得到操作码序列。
在操作S220,提取待检测脚本的代码特征和操作码序列的语义特征。
在操作S230,对代码特征和语义特征进行检测,得到检测结果。
根据本公开的实施例,待检测脚本可以是Webshell脚本。操作码序列可以是Opcode序列。Opcode是介于高级语言和机器底层语言之间的机器语言指令,也叫做字节码,可以由编译器对高级语言代码进行此法分析转换得到。由于在对Webshell脚本进行混淆处理或加密处理时,仅针对Webshell脚本中的函数、变量等进行混淆或加密处理,在执行Webshell脚本时,仍然需要转换为Opcode的语言指令。因此,对混淆或加密处理后的Webshell脚本进行编译,得到的Opcode序列,可以有效降低混淆或加密处理对Webshell脚本检测精度的影响。
例如:可以利用Vulcan Logic Disassembler(VLD,瓦肯逻辑反汇编程序)扩展解析Webshell脚本得到操作码序列。Vulcan Logic Disassembler是一个可以输出PHP脚本生成的中间代码的扩展工具。
根据本公开的实施例,待检测脚本的代码特征可以是基于先验经验得到用于检测Webshell脚本的特征。例如:字段长度特征、信息熵特征、重合指数特征和危险函数特征等。
根据本公开的实施例,在恶意Webshell脚本文件中,部分字段长度非常长,部分字段长度与正常Webshell脚本文件中的字段长度形成明显区别,可以利用Webshell脚本最长字段的长度作为字段长度特征检测该脚本是否为恶意脚本。
根据本公开的实施例,信息熵特征可以表征待检测脚本的随机程度和混乱程度。由于在对恶意Webshell脚本进行混淆或加密处理时,通常会在恶意Webshell脚本中加入大量的随机字符。因此,可以利用信息熵特征检测该脚本是否为恶意脚本。
根据本公开的实施例,重合指数特征可以表征Webshell脚本中随机两个字母的重合概率。由于在对恶意Webshell脚本进行加密或混淆处理之后,得到的恶意Webshell脚本类似于随机文件,重合指数明显高于正常的Webshell脚本。因此,可以利用重合指数特征检测该脚本是否为恶意脚本。
根据本公开的实施例,危险函数特征可以表征基于目前已知的恶意Webshell脚本中的特有字段。通过危险函数特征匹配,可以检测该脚本是否为恶意脚本。
根据本公开的实施例,操作码序列的语义特征与相关技术中的关键词特征相比,更具有泛化性。因为,相关技术中的关键词通常是基于已知的恶意Webshell脚本得到的,对于未知的恶意Webshell脚本,较难通过关键词的匹配进行恶意脚本的检测。但是,操作码序列的语义特征是针对性提取到的更有利于将恶意脚本与正常脚本进行分类的特征,因此,无论待检测脚本是已知的恶意Webshell脚本还是未知的恶意Webshell脚本,均能够通过语义特征进行检测,泛化性较强。
根据本公开的实施例,对代码特征和语义特征进行检测,得到检测结果。检测结果表征待检测脚本是目标脚本的概率。目标脚本可以表征恶意Webshell脚本。
根据本公开的实施例,通过对待检测脚本进行编译,得到操作码序列,提取待检测脚本的代码特征和操作码序列的语义特征;以及对代码特征和语义特征进行检测,得到检测结果。由于混淆处理或加密处理后的脚本文件中操作码的序列是不变的,待检测脚本的代码特征可以在一定程度上反映混淆处理或加密处理后的脚本文件的编写风格,因此,通过对操作码序列的语义特征和待检测脚本的代码特征进行检测,可以提高脚本的检测精度。
根据本公开的实施例,上述操作S220可以包括如下操作:对待检测脚本的代码字段进行处理,得到代码特征;以及对操作码序列进行处理,得到语义特征。
根据本公开的实施例,代码特征可以表征代码字段的复杂度信息和危险函数的调用数量信息。
为了躲避各种查杀工具,通常会在恶意Webshell脚本中随机加入一些字符串,进行代码混淆或加密处理,以增加检测难度。这种处理之后的Webshell脚本与正常Webshell脚本相比,代码字段的复杂度明显提升。
例如:可以通过调用目标函数,对代码字段进行解析,得到复杂度信息,其中,目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
根据本公开的实施例,长度函数可以表征用于计算待检测脚本中每一个字段长度的函数。通过调用长度函数,可以得到待检测脚本中每一个字段的长度。由于正常Webshell脚本的最长字段长度比恶意Webshell脚本的最长短,因此,代码字段的长度特征可以在一定程度上反映Webshell脚本是否为恶意脚本。
根据本公开的实施例,信息熵函数可以表征用于计算待检测脚本中代码随机性和混乱度的函数。通过调用信息熵函数,可以得到待检测脚本中代码的随机性和混乱度。由于恶意Webshell脚本中通常会添加大量的随机字符,增加了代码的随机性和混乱度,因此,信息熵特征也可以在一定程度上反映Webshell脚本是否为恶意脚本。
根据本公开的实施例,重合指数函数可以表征用于计算待检测脚本中两个随机字符的出现重合的概率函数。通过调用重合指数函数,可以得到待检测脚本的代码字段的随机字符的重合概率。由于恶意Webshell脚本中通常会添加大量的随机字符,随机字符出现重合的概率大于正常Webshell脚本中随机字符出现重合的概率,因此,重合指数特征也可以在一定程度上反映Webshell脚本是否为恶意脚本。
例如:可以将代码字段的长度特征、信息熵特征和重合指数特征共同作为表征代码字段的复杂度信息的特征。
另外,在恶意Webshell脚本中通常会存在大量的危险函数字段,虽然经过加密或混淆处理之后,这些危险函数字段可能以随机字符的形式出现,但是,对于已知的恶意Webshell脚本,部分危险函数字段的特征是相对固定的,因此,可以通过危险函数字段匹配得到危险函数的调用数量信息。
例如:可以将代码字段与预定危险函数字段进行匹配,得到危险函数的调用数量信息。
根据本公开的实施例,预定危险函数字段可以实现待检测脚本的代码字段与已知的恶意Webshell脚本的危险函数字段的匹配,可以提高对已知恶意Webshell脚本的检测效率。
图3示意性示出了根据本公开实施例的脚本的检测方法的示意图。
如图3所示,在实施例300中,对待检测脚本301的代码字段302和操作码序列303分别进行处理。对待检测脚本301的代码字段302进行处理得到代码字段的复杂度304和危险函数的调用数量305。对操作码序列303进行处理得到第一语义特征306和第二语义特征307。将代码字段的复杂度304、危险函数的调用数量305、第一语义特征306和第二语义特征307进行拼接,得到组合特征308。对组合特征308进行检测,得到检测结果309。
根据本公开的实施例,通过调用长度函数、信息熵函数、重合指数函数解析待检测脚本的代码字段,并对待检测脚本的代码字段与预定危险函数字段进行匹配,得到表征代码字段的复杂度信息和危险函数调用数量的特征,将这些基于先验经验得到的特征与操作码序列的语义特征进行拼接,可以实现对恶意脚本的针对性检测,提高检测精度和效率。
图4A示意性示出了根据本公开实施例的提取待检测脚本的多维度特征的示意图。
如图4A所示,在实施例400A中,对待检测脚本421进行处理,得到代码字段422和操作码序列423。
通过调用长度函数,对代码字段422进行处理,得到最长字段长度L14221。通过调用信息熵函数,对代码字段422进行处理,得到信息熵IE14222。通过调用重合指数函数,对代码字段422进行处理,得到重合指数IC14223。通过对代码字段422与危险函数进行匹配,得到危险函数调用数量HF14224。对最长字段长度L14221、信息熵IE14222、重合指数IC14223和危险函数调用数量HF14224进行特征拼接,得到代码特征F1424a。
利用N-gram模型对操作码序列进行处理,得到多个操作码片段425。基于TF-IDF算法对多个操作码片段425进行处理,得到第一语义特征426。基于注意力机制对操作码序列423进行处理,得到第二语义特征427。对第一语义特征426和第二语义特征427进行特征拼接,得到语义特征428。
为了进一步提高检测精度,可以对操作码序列进行代码特征的提取。例如:提取操作码序列的代码特征;以及对待检测脚本的代码特征、操作码序列的代码特征和语义特征进行检测,得到检测结果。
图4B示意性示出了根据本公开另一实施例的提取待检测脚本的多维度特征的示意图。
如图4B所示,在实施例400B中,在实施例400A中,对待检测脚本421进行处理,得到代码字段422和操作码序列423。
通过调用长度函数,对代码字段422进行处理,得到最长字段长度L14221。通过调用信息熵函数,对代码字段422进行处理,得到信息熵IE14222。通过调用重合指数函数,对代码字段422进行处理,得到重合指数IC14223。通过对代码字段422与危险函数进行匹配,得到危险函数调用数量HF14224。
通过调用长度函数,对操作码序列423进行处理,得到最长字段长度L24231。通过调用信息熵函数,对操作码序列423进行处理,得到信息熵IE124232。通过调用重合指数函数,对操作码序列423进行处理,得到重合指数IC24233。通过对操作码序列423与危险函数进行匹配,得到危险函数调用数量HF24234。
对最长字段长度L14221、信息熵IE14222、重合指数IC14223、危险函数调用数量HF14224、最长字段长度L24231、信息熵IE124232、重合指数IC24233和危险函数调用数量HF24234进行特征拼接,得到代码特征F2424b。
利用N-gram模型对操作码序列进行处理,得到多个操作码片段425。基于TF-IDF算法对多个操作码片段425进行处理,得到第一语义特征426。基于注意力机制对操作码序列423进行处理,得到第二语义特征427。对第一语义特征426和第二语义特征427进行特征拼接,得到语义特征428。
根据本公开的实施例,通过增加操作码序列的代码特征,实现了基于先验经验对待检测脚本和操作码序列的特征提取,提高恶意脚本的检测效率和检测精度。
根据本公开的实施例,对操作码序列进行处理,得到语义特征,可以包括如下操作:对操作码序列进行离散处理,得到第一语义特征;基于注意力机制,对操作码序列进行处理,得到第二语义特征;以及根据第一语义特征和第二语义特征,得到语义特征。
根据本公开的实施例,第一语义特征表征不同操作码在同一操作码序列中出现的概率。
例如:在恶意Webshell脚本的操作码序列中,操作码“Azz”与操作码“Xmm”出现在同一操作码序列中的概率较高,因此,可以通过对待检测脚本的操作码序列进行离散处理,得到待检测脚本的操作码序列中操作码“Azz”与操作码“Xmm”出现在同一操作码序列中的概率,确定该待检测脚本是否为恶意脚本。
根据本公开的实施例,第二语义特征表征操作码在目标脚本的操作码序列中出现的概率。目标脚本可以表征恶意Webshell脚本。
例如:在恶意Webshell脚本的操作码序列中,操作码“**G”在操作码序列中出现的概率较高,因此,可以基于注意力机制,对操作码序列进行处理,从待检测脚本的操作码序列中得到操作码“**G”出现的概率,确定该待检测脚本是否为恶意脚本。
根据本公开的实施例,注意力机制可以是自注意力机制,自注意力机制中的权重矩阵的具体参数可以是预定配置的,也可以是基于预训练模型得到的。
例如:可以利用预训练模型实现对第二语义特征的提取,例如:预训练模型可以是Word2Vec(word vecor或word embedding词向量嵌入模型)模型与ERNIE(EnhancedLanguage Representation with Informative Entities,知识增强大语言模型)模型构建得到的。可以利用正样本Webshell脚本和负样本Webshell脚本对预训练模型进行迭代训练,直至交叉熵损失函数收敛,使预训练模型可以基于注意力机制从Webshell脚本中提取到在恶意Webshell脚本中出现概率较高的操作码的序列特征。
由于预训练模型对第二语义特征的提取通常依赖于样本Webshell脚本的操作码序列特征,可能存在部分特征缺失。因此,为了进一步提高操作码序列的语义特征的提取精度,可以将第一语义特征作为第二语义特征的补充特征。
根据本公开的实施例,对操作码序列进行离散处理,得到第一语义特征,可以包括如下操作:对操作码序列进行分词处理,得到多个操作码片段;以及基于词频逆向文件频率算法,对多个操作码片段进行处理,得到第一语义特征。
例如:可以利用N-gram模型(统计语言模型)对操作码序列进行分词处理,得到多个操作码片段。然后,基于TRIDF算法(Term Frequency-Inverse Document Frequency,词频逆向文件频率),对多个操作码片段进行处理,得到第一语义特征。
根据本公开的实施例,N-gram模型中的N表示滑动窗口的大小,N可以取任意不超过操作码序列的字段总数的整数,例如:1、2、M等。在利用N-gram模型对操作码序列进行分词处理时,可以保证操作码与操作码之间的语义关联。
图5示意性示出了根据本公开实施例的提取操作码序列的语义特征的示意图。
如图5所示,在实施例500中,可以分别对操作码序列521按照滑动窗口为1的1-gram模型进行分词,得到操作码片段序列P15231、对操作码序列521按照滑动窗口为M的M-gram模型进行分词,得到操作码片段序列Pm5232、对操作码序列521按照滑动窗口为N的N-gram模型进行分词,得到操作码片段序列Pn5233。
根据本公开的实施例,TRIDF算法可以获取Webshell脚本中的出现频率较高的操作码。相比于相关技术中根据已知恶意Webshell脚本设定的关键词,基于TRIDF算法可以实现对未知恶意Webshell脚本中的出现频率较高的操作码的提取,以提高检测方法的泛化性。
根据本公开的实施例,基于TFIDP算法,对操作码片段序列P15231进行处理,得到词频矩阵Matrix15241。词频矩阵Matrix15241中每一个元素表示该长度为1操作码“X”与其他长度为1操作码“X”出现在同一操作码序列中的概率。
根据本公开的实施例,基于TFIDP算法,对操作码片段序列Pm5232进行处理,得到词频矩阵Matrix25242。词频矩阵Matrix25242中每一个元素表示该长度为M操作码“XX”与其他长度为M操作码“XX”出现在同一操作码序列中的概率。
根据本公开的实施例,基于TFIDP算法,对操作码片段序列Pn5233进行处理,得到词频矩阵Matrix35243。词频矩阵Matrix35243中每一个元素表示该长度为N操作码“XXXX”与其他长度为N操作码“XXXX”出现在同一操作码序列中的概率。
根据本公开的实施例,将词频矩阵Matrix15241、词频矩阵Matrix25242和词频矩阵Matrix35243进行特征拼接,得到第一语义特征525。
根据本公开的实施例,基于注意力机制对操作码序列521进行处理,得到第二语义特征526。并将第一语义特征525和第二语义特征526进行特征拼接,得到操作码序列的语义特征527。
根据本公开的实施例,利用对操作码序列进行分词和词频逆向文件频率算法处理得到的第一语义特征,对基于注意力机制对操作码序列进行处理得到的第二语义特征进行补充,可以实现在提高检测方法的泛化性的同时,提高检测精度。
由于在运行Webshell脚本时,需要将Webshell脚本中的操作指令转换为opcode操作码。因此,在恶意Webshell脚本进行混淆处理或者加密处理过程中,仅对Webshell脚本中的函数、变量进行混淆或加密,并不会对操作指令进行混淆或加密处理。因此,可以通过提取待检测脚本中的操作指令序列,降低混淆或加密过程对待检测脚本的检测精度的干扰。
根据本公开的实施例,上述操作S210可以包括如下操作:从待检测脚本中提取操作指令序列;以及对操作指令序列进行编译,得到操作码序列。
例如:待检测脚本可以是“***&&&qwe%%saw%”,操作指令序列可以是“qwe、saw”。可以利用VLD扩展工具对操作指令序列进行编译,得到操作码序列。
根据本公开的实施例,对代码特征和语义特征进行检测,得到检测结果,可以包括如下操作:对代码特征和语义特征进行拼接,得到组合特征;以及对组合特征进行分类检测,得到检测结果。
例如:可以采用Random Forest(随机森林模型)对组合特征进行分类检测,得到检测结果。
由于代码特征是基于先验经验得到的特征,语义特征是基于对操作码序列进行处理得到的序列特征。将代码特征和语义特征进行拼接,得到的组合特征中既包含待检测脚本的代码复杂度和危险函数调用数量信息,又包含操作码出现在恶意脚本中的概率以及不同操作码出现在同一操作码序列中的概率信息,因此,可以有效提高对恶意Webshell脚本的检测精度。
图6示意性示出了根据本公开实施例的深度学习模型的训练方法的流程图。
如图6所示,该深度学习模型的训练方法包括操作S610~S650。
在操作S610,对样本脚本进行编译,得到样本操作码序列。
在操作S620,提取样本脚本的样本代码特征和样本操作码序列的样本语义特征。
在操作S630,对样本代码特征和样本语义特征进行检测,得到样本检测结果。
在操作S640,基于损失函数,根据样本检测结果和样本标签,得到损失值。
在操作S650,基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型。
根据本公开的实施例,样本脚本、样本操作码序列、样本代码特征、样本语义特征、样本检测结果与前文脚本的检测方法中待检测脚本、操作码序列、代码特征、语义特征、检测结果的定义范围相同,在此不作赘述。
根据本公开的实施例,样本标签可以用于标注样本脚本为正常Webshell脚本或恶意Webshell脚本。
根据本公开的实施例,损失函数可以根据具体应用需求进行配置,再次不作限定。例如:损失函数可以包括以下至少一项:交叉熵损失函数、指数损失函数和平方损失函数。预定条件可以包括输出值收敛和训练轮次达到最大训练轮次中的至少一项。
根据本公开的实施例,通过引入样本代码特征和样本语义特征对深度学习模型进行训练,由于样本代码特征耦合了基于先验经验得到的恶意脚本的代码编写特征和操作码序列的语义特征,可以提高深度学习模型训练效率。
为了提高深度学习模型的检测精度,可以增加操作序列码序列的代码特征。
例如:提取样本操作码序列的样本代码特征;以及对样本脚本的样本代码特征、样本操作码序列的样本代码特征和样本语义特征进行检测,得到样本检测结果。
根据本公开的实施例,样本操作码序列的样本代码特征与操作码序列的代码特征的定义范围相同,在此不作赘述。
根据本公开的实施例,提取样本脚本的样本代码特征和样本操作码序列的样本语义特征,可以包括如下操作:对样本脚本的样本代码字段进行处理,得到样本代码特征;以及对样本操作码序列进行处理,得到样本语义特征。
根据本公开的实施例,样本代码特征表征样本代码字段的样本复杂度信息和样本危险函数的调用数量信息。样本复杂度信息可以包括以下至少之一:样本脚本中样本代码字段的最长字段长度、信息熵、重合指数。
例如:解析样本代码字段,得到样本复杂度信息,可以包括如下操作:调用目标函数,对样本代码字段进行解析,得到样本复杂度信息,其中,目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
根据本公开的实施例,长度函数、信息熵函数和重合指数函数的定义范围与前文所述的脚本的检测方法中的长度函数、信息熵函数和重合指数函数的定义范围相同,在此不作赘述。
例如:将样本代码字段与预定危险函数字段进行匹配,得到样本危险函数的调用数量信息。
根据本公开的实施例,预定危险函数字段可以是通过对恶意脚本进行分析得到的。
例如:样本代码字段中出现预定危险函数字段的次数可以是5次,表示样本危险函数的调用数量为5次。
根据本公开的实施例,通过调用长度函数、信息熵函数、重合指数函数解析待检测脚本的代码字段,并对待检测脚本的代码字段与预定危险函数字段进行匹配,得到表征代码字段的复杂度信息和危险函数调用数量的特征,将这些基于先验经验得到的特征与操作码序列的语义特征进行拼接,可以实现深度学习模型对恶意脚本的针对性分类训练,提高模型精度。
根据本公开的实施例,对样本操作码序列进行处理,得到样本语义特征,可以包括如下操作:对样本操作码序列进行离散处理,得到第一样本语义特征。基于注意力机制,对样本操作码序列进行处理,得到第二样本语义特征。根据第一样本语义特征和第二样本语义特征,得到样本语义特征。
根据本公开的实施例,第一样本语义特征表征不同操作码在同一操作码序列中出现的概率。第二样本语义特征表征操作码在目标脚本的操作码序列中出现的概率。
例如:可以对样本操作码序列进行分词处理,得到多个样本操作码片段;以及基于词频逆向文件频率算法,对多个样本操作码片段进行处理,得到第一样本语义特征。
例如:可以基于自注意力的权重矩阵的预定参数对样本操作码序列进行处理,得到第二样本语义特征。也可以基于预训练模型对对样本操作码序列进行处理,得到第二样本语义特征。
根据本公开的实施例,预训练模型的说明与前文所述的脚本的检测方法中的预训练模型的说明相同,在此不作赘述。
根据本公开的实施例,利用不同操作码在同一操作码序列中出现的概率对操作码在目标脚本的操作码序列中出现的概率进行特征补充,以提高训练得到的深度学习模型的分类精度。
根据本公开的实施例,对样本脚本进行编译,得到样本操作码序列,可以包括如下操作:从样本脚本中提取样本操作指令序列;以及对样本操作指令序列进行编译,得到样本操作码序列。
根据本公开的实施例,对样本代码特征和样本语义特征进行检测,得到样本检测结果,可以包括如下操作:对样本代码特征和样本语义特征进行拼接,得到样本组合特征;以及对样本组合特征进行分类检测,得到样本检测结果。
根据本公开的实施例,对样本操作指令序列的编译过程、以及对样本代码特征和样本语义特征检测过程与前文所述的对操作指令序列的编译过程、以及对代码特征和语义特征的检测过程相同,在此不作赘述。
图7示意性示出了根据本公开实施例的脚本的检测装置的框图。
如图7所示,该检测装置700可以包括第一编译模块710、第一提取模块720和第一检测模块730。
第一编译模块710,用于对待检测脚本进行编译,得到操作码序列;
第一提取模块720,用于提取待检测脚本的代码特征和操作码序列的语义特征;以及
第一检测模块730,用于对代码特征和语义特征进行检测,得到检测结果,其中,检测结果表征待检测脚本是目标脚本的概率。
根据本公开的实施例,第一提取模块可以包括:第一处理子模块和第二处理子模块。第一处理子模块,用于对待检测脚本的代码字段进行处理,得到代码特征,其中,代码特征表征代码字段的复杂度信息和危险函数的调用数量信息。第二处理子模块,用于对操作码序列进行处理,得到语义特征。
根据本公开的实施例,第一处理子模块可以包括:第一解析单元和第一匹配单元。第一解析单元,用于解析代码字段,得到复杂度信息。第一匹配单元,用于将代码字段与预定危险函数字段进行匹配,得到危险函数的调用数量信息。
根据本公开的实施例,第一解析单元可以包括:第一解析子单元。第一解析子单元,用于调用目标函数,对代码字段进行解析,得到复杂度信息,其中,目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
根据本公开的实施例,第二处理子模块可以包括:第一离散处理单元、第一注意力单元和第一获得单元。第一离散处理单元,用于对操作码序列进行离散处理,得到第一语义特征,其中第一语义特征表征不同操作码在同一操作码序列中出现的概率。第一注意力单元,用于基于注意力机制,对操作码序列进行处理,得到第二语义特征,其中,第二语义特征表征操作码在目标脚本的操作码序列中出现的概率。第一获得单元,用于根据第一语义特征和第二语义特征,得到语义特征。
根据本公开的实施例,第一离散处理单元可以包括:第一分词子单元和第一词频处理子单元。第一分词子单元,用于对操作码序列进行分词处理,得到多个操作码片段。第一词频处理子单元,用于基于词频逆向文件频率算法,对多个操作码片段进行处理,得到第一语义特征。
根据本公开的实施例,第一编译模块可以包括:第一提取子模块和第一编译子模块。第一提取子模块,用于从待检测脚本中提取操作指令序列。第一编译子模块,用于对操作指令序列进行编译,得到操作码序列。
根据本公开的实施例,第一检测模块可以包括:第一拼接子模块和第一分类检测子模块。第一拼接子模块,用于对代码特征和语义特征进行拼接,得到组合特征。第一分类检测子模块,用于对组合特征进行分类检测,得到检测结果。
根据本公开的实施例,上述装置还包括:第二提取模块和第二检测模块。第二提取模块,用于提取操作码序列的代码特征。第二检测模块,用于对待检测脚本的代码特征、操作码序列的代码特征和语义特征进行检测,得到检测结果。
图8示意性示出了根据本公开实施例的深度学习模型的训练装置的框图。
如图8所示,该训练装置800包括:第二编译模块810、第三提取模块820、第三检测模块830、损失计算模块840和调整模块850。
第二编译模块810,用于对样本脚本进行编译,得到样本操作码序列;
第三提取模块820,用于提取样本脚本的样本代码特征和样本操作码序列的样本语义特征;
第三检测模块830,用于对样本代码特征和样本语义特征进行检测,得到样本检测结果,其中,样本检测结果表征样本脚本是目标脚本的概率;
损失计算模块840,用于基于损失函数,根据样本检测结果和样本标签,得到损失值;
调整模块850,用于基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型
根据本公开的实施例,第三提取模块可以包括:第三处理子模块和第四处理子模块。第三处理子模块,用于对样本脚本的样本代码字段进行处理,得到样本代码特征,其中,样本代码特征表征样本代码字段的样本复杂度信息和样本危险函数的调用数量信息。第四处理子模块,用于对样本操作码序列进行处理,得到样本语义特征。
根据本公开的实施例,第三处理子模块可以包括:第二解析单元和第二匹配单元。第二解析单元,用于解析样本代码字段,得到样本复杂度信息。第二匹配单元,用于将样本代码字段与预定危险函数字段进行匹配,得到样本危险函数的调用数量信息。
根据本公开的实施例,第二解析单元可以包括第二解析子单元。第二解析子单元,用于调用目标函数,对样本代码字段进行解析,得到样本复杂度信息,其中,目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
根据本公开的实施例,第四处理子模块可以包括:第二离散处理单元、第二注意力单元和第二获得单元。第二离散处理单元,用于对样本操作码序列进行离散处理,得到第一样本语义特征,其中,第一样本语义特征表征不同操作码在同一操作码序列中出现的概率。第二注意力单元,用于基于注意力机制,对样本操作码序列进行处理,得到第二样本语义特征,其中,第二样本语义特征表征操作码在目标脚本的操作码序列中出现的概率。第二获得单元,用于根据第一样本语义特征和第二样本语义特征,得到样本语义特征。
根据本公开的实施例,第二离散处理单元可以包括:第二分词子单元和第二词频处理子单元。第二分词子单元,用于对样本操作码序列进行分词处理,得到多个样本操作码片段。第二词频处理子单元,用于基于词频逆向文件频率算法,对多个样本操作码片段进行处理,得到第一样本语义特征。
根据本公开的实施例,第二编译模块可以包括:第二提取子模块和第二编译子模块。第二提取子模块,用于从样本脚本中提取样本操作指令序列。第二编译子模块,用于对样本操作指令序列进行编译,得到样本操作码序列。
根据本公开的实施例,第二检测模块可以包括:第二拼接子模块和第二分类检测子模块。第二拼接子模块,用于对样本代码特征和样本语义特征进行拼接,得到样本组合特征。第二分类检测子模块,用于对样本组合特征进行分类检测,得到样本检测结果。
根据本公开的实施例,上述训练装置还包括:第四提取模块和第四检测模块。第四提取模块,用于提取样本操作码序列的样本代码特征。第四检测模块,用于对样本脚本的样本代码特征、样本操作码序列的样本代码特征和样本语义特征进行检测,得到样本检测结果。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
根据本公开的实施例,一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上所述的方法。
根据本公开的实施例,一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行如上所述的方法。
根据本公开的实施例,一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如上所述的方法。
图9示出了可以用来实施本公开的实施例的示例电子设备900的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图9所示,设备900包括计算单元901,其可以根据存储在只读存储器(ROM)902中的计算机程序或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序,来执行各种适当的动作和处理。在RAM 903中,还可存储设备900操作所需的各种程序和数据。计算单元901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如磁盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元901可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元901的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元901执行上文所描述的各个方法和处理,例如脚本的检测方法或深度学习模型的训练方法。例如,在一些实施例中,脚本的检测方法或深度学习模型的训练方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM 902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序加载到RAM 903并由计算单元901执行时,可以执行上文描述的脚本的检测方法或深度学习模型的训练方法的一个或多个步骤。备选地,在其他实施例中,计算单元901可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行脚本的检测方法或深度学习模型的训练方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以是分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (39)

1.一种脚本的检测方法,包括:
对待检测脚本进行编译,得到操作码序列;
提取所述待检测脚本的代码特征和所述操作码序列的语义特征;以及
对所述代码特征和所述语义特征进行检测,得到检测结果,其中,所述检测结果表征所述待检测脚本是目标脚本的概率。
2.根据权利要求1所述的方法,其中,所述提取所述待检测脚本的代码特征和所述操作码序列的语义特征,包括:
对所述待检测脚本的代码字段进行处理,得到所述代码特征,其中,所述代码特征表征所述代码字段的复杂度信息和危险函数的调用数量信息;以及
对所述操作码序列进行处理,得到所述语义特征。
3.根据权利要求2所述的方法,其中,所述对所述待检测脚本的代码字段进行处理,得到所述代码特征,包括:
解析所述代码字段,得到所述复杂度信息;以及
将所述代码字段与预定危险函数字段进行匹配,得到所述危险函数的调用数量信息。
4.根据权利要求3所述的方法,其中,所述解析所述代码字段,得到所述复杂度信息,包括:
调用目标函数,对所述代码字段进行解析,得到所述复杂度信息,其中,所述目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
5.根据权利要求2所述的方法,其中,所述对所述操作码序列进行处理,得到所述语义特征,包括:
对所述操作码序列进行离散处理,得到第一语义特征,其中所述第一语义特征表征不同操作码在同一操作码序列中出现的概率;
基于注意力机制,对所述操作码序列进行处理,得到第二语义特征,其中,所述第二语义特征表征操作码在目标脚本的操作码序列中出现的概率;以及
根据所述第一语义特征和所述第二语义特征,得到所述语义特征。
6.根据权利要求5所述的方法,其中,所述对所述操作码序列进行离散处理,得到第一语义特征,包括:
对所述操作码序列进行分词处理,得到多个操作码片段;以及
基于词频逆向文件频率算法,对所述多个操作码片段进行处理,得到所述第一语义特征。
7.根据权利要求1所述的方法,其中,所述对待检测脚本进行编译,得到操作码序列,包括:
从所述待检测脚本中提取操作指令序列;以及
对所述操作指令序列进行编译,得到所述操作码序列。
8.根据权利要求1所述的方法,其中,所述对所述代码特征和所述语义特征进行检测,得到检测结果,包括:
对所述代码特征和所述语义特征进行拼接,得到组合特征;以及
对所述组合特征进行分类检测,得到所述检测结果。
9.根据权利要求1所述的方法,还包括:
提取所述操作码序列的代码特征;
对所述待检测脚本的代码特征、所述操作码序列的代码特征和所述语义特征进行检测,得到所述检测结果。
10.一种深度学习模型的训练方法,包括:
对样本脚本进行编译,得到样本操作码序列;
提取所述样本脚本的样本代码特征和所述样本操作码序列的样本语义特征;
对所述样本代码特征和所述样本语义特征进行检测,得到样本检测结果,其中,所述样本检测结果表征所述样本脚本是目标脚本的概率;
基于损失函数,根据所述样本检测结果和样本标签,得到损失值;以及
基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型。
11.根据权利要求10所述的方法,其中,所述提取所述样本脚本的样本代码特征和所述样本操作码序列的样本语义特征,包括:
对所述样本脚本的样本代码字段进行处理,得到所述样本代码特征,其中,所述样本代码特征表征所述样本代码字段的样本复杂度信息和样本危险函数的调用数量信息;以及
对所述样本操作码序列进行处理,得到所述样本语义特征。
12.根据权利要求11所述的方法,其中,对所述样本脚本的样本代码字段进行处理,得到所述样本代码特征,包括:
解析所述样本代码字段,得到所述样本复杂度信息;以及
将所述样本代码字段与预定危险函数字段进行匹配,得到所述样本危险函数的调用数量信息。
13.根据权利要求12所述的方法,其中,所述解析所述样本代码字段,得到所述样本复杂度信息,包括:
调用目标函数,对所述样本代码字段进行解析,得到所述样本复杂度信息,其中,所述目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
14.根据权利要求11所述的方法,其中,所述对所述样本操作码序列进行处理,得到所述样本语义特征,包括:
对所述样本操作码序列进行离散处理,得到第一样本语义特征,其中,所述第一样本语义特征表征不同操作码在同一操作码序列中出现的概率;
基于注意力机制,对所述样本操作码序列进行处理,得到第二样本语义特征,其中,所述第二样本语义特征表征操作码在目标脚本的操作码序列中出现的概率;以及
根据所述第一样本语义特征和所述第二样本语义特征,得到所述样本语义特征。
15.根据权利要求14所述的方法,其中,所述对所述样本操作码序列进行离散处理,得到第一样本语义特征,包括:
对所述样本操作码序列进行分词处理,得到多个样本操作码片段;以及
基于词频逆向文件频率算法,对所述多个样本操作码片段进行处理,得到所述第一样本语义特征。
16.根据权利要求10所述的方法,其中,所述对样本脚本进行编译,得到样本操作码序列,包括:
从所述样本脚本中提取样本操作指令序列;以及
对所述样本操作指令序列进行编译,得到所述样本操作码序列。
17.根据权利要求10所述的方法,其中,所述对所述样本代码特征和所述样本语义特征进行检测,得到样本检测结果,包括:
对所述样本代码特征和所述样本语义特征进行拼接,得到样本组合特征;以及
对所述样本组合特征进行分类检测,得到所述样本检测结果。
18.根据权利要求10所述的方法,还包括:
提取所述样本操作码序列的样本代码特征;以及
对所述样本脚本的样本代码特征、所述样本操作码序列的样本代码特征和所述样本语义特征进行检测,得到所述样本检测结果。
19.一种脚本的检测装置,包括:
第一编译模块,用于对待检测脚本进行编译,得到操作码序列;
第一提取模块,用于提取所述待检测脚本的代码特征和所述操作码序列的语义特征;以及
第一检测模块,用于对所述代码特征和所述语义特征进行检测,得到检测结果,其中,所述检测结果表征所述待检测脚本是目标脚本的概率。
20.根据权利要求19所述的装置,其中,所述第一提取模块包括:
第一处理子模块,用于对所述待检测脚本的代码字段进行处理,得到所述代码特征,其中,所述代码特征表征所述代码字段的复杂度信息和危险函数的调用数量信息;以及
第二处理子模块,用于对所述操作码序列进行处理,得到所述语义特征。
21.根据权利要求20所述的装置,其中,所述第一处理子模块包括:
第一解析单元,用于解析所述代码字段,得到所述复杂度信息:以及
第一匹配单元,用于将所述代码字段与预定危险函数字段进行匹配,得到所述危险函数的调用数量信息。
22.根据权利要求21所述的装置,其中,所述第一解析单元包括:
第一解析子单元,用于调用目标函数,对所述代码字段进行解析,得到所述复杂度信息,其中,所述目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
23.根据权利要求20所述的装置,其中,所述第二处理子模块包括:
第一离散处理单元,用于对所述操作码序列进行离散处理,得到第一语义特征,其中所述第一语义特征表征不同操作码在同一操作码序列中出现的概率;
第一注意力单元,用于基于注意力机制,对所述操作码序列进行处理,得到第二语义特征,其中,所述第二语义特征表征操作码在目标脚本的操作码序列中出现的概率;以及
第一获得单元,用于根据所述第一语义特征和所述第二语义特征,得到所述语义特征。
24.根据权利要求23所述的装置,其中,所述第一离散处理单元包括:
第一分词子单元,用于对所述操作码序列进行分词处理,得到多个操作码片段;以及
第一词频处理子单元,用于基于词频逆向文件频率算法,对所述多个操作码片段进行处理,得到所述第一语义特征。
25.根据权利要求19所述的装置,其中,所述第一编译模块包括:
第一提取子模块,用于从所述待检测脚本中提取操作指令序列;以及
第一编译子模块,用于对所述操作指令序列进行编译,得到所述操作码序列。
26.根据权利要求19所述的装置,其中,所述第一检测模块包括:
第一拼接子模块,用于对所述代码特征和所述语义特征进行拼接,得到组合特征;以及
第一分类检测子模块,用于对所述组合特征进行分类检测,得到所述检测结果。
27.根据权利要求19所述的装置,还包括:
第二提取模块,用于提取所述操作码序列的代码特征;以及
第二检测模块,用于对所述待检测脚本的代码特征、所述操作码序列的代码特征和所述语义特征进行检测,得到所述检测结果。
28.一种深度学习模型的训练装置,包括:
第二编译模块,用于对样本脚本进行编译,得到样本操作码序列;
第三提取模块,用于提取所述样本脚本的样本代码特征和所述样本操作码序列的样本语义特征;
第三检测模块,用于对所述样本代码特征和所述样本语义特征进行检测,得到样本检测结果,其中,所述样本检测结果表征所述样本脚本是目标脚本的概率;
损失计算模块,用于基于损失函数,根据所述样本检测结果和样本标签,得到损失值;以及
调整模块,用于基于损失值,调整深度学习模型的模型参数,得到经训练的深度学习模型。
29.根据权利要求28所述的装置,其中,所述第三提取模块包括:
第三处理子模块,用于对所述样本脚本的样本代码字段进行处理,得到所述样本代码特征,其中,所述样本代码特征表征所述样本代码字段的样本复杂度信息和样本危险函数的调用数量信息;以及
第四处理子模块,用于对所述样本操作码序列进行处理,得到所述样本语义特征。
30.根据权利要求29所述的装置,其中,所述第三处理子模块包括:
第二解析单元,用于解析所述样本代码字段,得到所述样本复杂度信息;以及
第二匹配单元,用于将所述样本代码字段与预定危险函数字段进行匹配,得到所述样本危险函数的调用数量信息。
31.根据权利要求30所述的装置,其中,所述第二解析单元包括:
第二解析子单元,用于调用目标函数,对所述样本代码字段进行解析,得到所述样本复杂度信息,其中,所述目标函数包括以下至少一种:长度函数、信息熵函数和重合指数函数。
32.根据权利要求29所述的装置,其中,所述第四处理子模块包括:
第二离散处理单元,用于对所述样本操作码序列进行离散处理,得到第一样本语义特征,其中,所述第一样本语义特征表征不同操作码在同一操作码序列中出现的概率;
第二注意力单元,用于基于注意力机制,对所述样本操作码序列进行处理,得到第二样本语义特征,其中,所述第二样本语义特征表征操作码在目标脚本的操作码序列中出现的概率;以及
第二获得单元,用于根据所述第一样本语义特征和所述第二样本语义特征,得到所述样本语义特征。
33.根据权利要求32所述的装置,其中,所述第二离散处理单元包括:
第二分词子单元,用于对所述样本操作码序列进行分词处理,得到多个样本操作码片段;以及
第二词频处理子单元,用于基于词频逆向文件频率算法,对所述多个样本操作码片段进行处理,得到所述第一样本语义特征。
34.根据权利要求28所述的装置,其中,所述第二编译模块包括:
第二提取子模块,用于从所述样本脚本中提取样本操作指令序列;以及
第二编译子模块,用于对所述样本操作指令序列进行编译,得到所述样本操作码序列。
35.根据权利要求28所述的装置,其中,所述第二检测模块包括:
第二拼接子模块,用于对所述样本代码特征和所述样本语义特征进行拼接,得到样本组合特征;以及
第二分类检测子模块,用于对所述样本组合特征进行分类检测,得到所述样本检测结果。
36.根据权利要求28所述的装置,还包括:
第四提取模块,用于提取所述样本操作码序列的样本代码特征;以及
第四检测模块,用于对所述样本脚本的样本代码特征、所述样本操作码序列的样本代码特征和所述样本语义特征进行检测,得到所述样本检测结果。
37.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-18中任一项所述的方法。
38.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-18中任一项所述的方法。
39.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-18中任一项所述的方法。
CN202310602320.3A 2023-05-25 2023-05-25 脚本的检测方法、深度学习模型的训练方法及装置 Active CN116611065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310602320.3A CN116611065B (zh) 2023-05-25 2023-05-25 脚本的检测方法、深度学习模型的训练方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310602320.3A CN116611065B (zh) 2023-05-25 2023-05-25 脚本的检测方法、深度学习模型的训练方法及装置

Publications (2)

Publication Number Publication Date
CN116611065A true CN116611065A (zh) 2023-08-18
CN116611065B CN116611065B (zh) 2024-03-01

Family

ID=87681433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310602320.3A Active CN116611065B (zh) 2023-05-25 2023-05-25 脚本的检测方法、深度学习模型的训练方法及装置

Country Status (1)

Country Link
CN (1) CN116611065B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111680297A (zh) * 2020-07-09 2020-09-18 腾讯科技(深圳)有限公司 基于人工智能的脚本文件的检测方法、装置及电子设备
CN112052451A (zh) * 2020-08-17 2020-12-08 北京兰云科技有限公司 一种webshell检测方法和装置
CN112307473A (zh) * 2019-08-01 2021-02-02 四川大学 一种基于Bi-LSTM网络和注意力机制的恶意JavaScript代码检测模型
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN113190849A (zh) * 2021-04-28 2021-07-30 重庆邮电大学 Webshell脚本检测方法、装置、电子设备及存储介质
US20210240827A1 (en) * 2020-02-05 2021-08-05 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious script
CN114722389A (zh) * 2022-03-15 2022-07-08 瑞数信息技术(上海)有限公司 Webshell文件的检测方法、装置、电子设备及可读存储介质
CN115688108A (zh) * 2023-01-04 2023-02-03 北京微步在线科技有限公司 一种webshell静态检测方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112307473A (zh) * 2019-08-01 2021-02-02 四川大学 一种基于Bi-LSTM网络和注意力机制的恶意JavaScript代码检测模型
US20210240827A1 (en) * 2020-02-05 2021-08-05 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious script
CN111680297A (zh) * 2020-07-09 2020-09-18 腾讯科技(深圳)有限公司 基于人工智能的脚本文件的检测方法、装置及电子设备
CN112052451A (zh) * 2020-08-17 2020-12-08 北京兰云科技有限公司 一种webshell检测方法和装置
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN113190849A (zh) * 2021-04-28 2021-07-30 重庆邮电大学 Webshell脚本检测方法、装置、电子设备及存储介质
CN114722389A (zh) * 2022-03-15 2022-07-08 瑞数信息技术(上海)有限公司 Webshell文件的检测方法、装置、电子设备及可读存储介质
CN115688108A (zh) * 2023-01-04 2023-02-03 北京微步在线科技有限公司 一种webshell静态检测方法及系统

Also Published As

Publication number Publication date
CN116611065B (zh) 2024-03-01

Similar Documents

Publication Publication Date Title
US20190163742A1 (en) Method and apparatus for generating information
CN108090351B (zh) 用于处理请求消息的方法和装置
CN107506256B (zh) 一种崩溃数据监控的方法和装置
RU2722692C1 (ru) Способ и система выявления вредоносных файлов в неизолированной среде
KR101858620B1 (ko) 기계 학습을 이용한 자바스크립트 분석 장치 및 방법
CN111314388B (zh) 用于检测sql注入的方法和装置
CN114861889B (zh) 深度学习模型的训练方法、目标对象检测方法和装置
CN114363019B (zh) 钓鱼网站检测模型的训练方法、装置、设备及存储介质
US11556640B1 (en) Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11775641B2 (en) Systems and methods for classifying malware based on feature reuse
JPWO2019013266A1 (ja) 判定装置、判定方法、および、判定プログラム
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
CN112528641A (zh) 建立信息抽取模型的方法、装置、电子设备和可读存储介质
CN110730164A (zh) 安全预警方法及相关设备、计算机可读存储介质
CN114626061A (zh) 网页木马检测的方法、装置、电子设备及介质
CN114116997A (zh) 知识问答方法、装置、电子设备及存储介质
CN113971284B (zh) 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质
CN112231696A (zh) 恶意样本的识别方法、装置、计算设备以及介质
CN110929499B (zh) 文本相似度获取方法、装置、介质及电子设备
Pei et al. Combining multi-features with a neural joint model for Android malware detection
JP6883561B2 (ja) 脆弱性推定装置及び脆弱性推定方法
CN116611065B (zh) 脚本的检测方法、深度学习模型的训练方法及装置
CN114143074B (zh) webshell攻击识别装置及方法
CN116108880A (zh) 随机森林模型的训练方法、恶意网站检测方法及装置
CN116383382A (zh) 敏感信息的识别方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant