[发明专利]用于阻断脚本执行的系统和方法

说明书

公开了用于阻断脚本执行的系统和方法的示例性方面。示例性方法包括：拦截从客户端向服务器的对于脚本的请求；生成拦截的脚本的字节码；计算生成的字节码的散列和；确定字节码的散列和与存储在数据库中的恶意脚本和干净脚本的多个散列和之间的相似度；从数据库识别相似散列和，该相似散列和与字节码的散列和的相似度在相似度阈值内；确定相似散列和的信任系数；基于相似散列和的相似度和信任系数确定请求的脚本是否为恶意的；以及阻断恶意脚本在客户端上的执行。

相关申请的交叉引用

本发明要求在2015年9月30日递交的俄罗斯申请No.2015141537的优先权的权益，该俄罗斯申请通过引用并入在本文中。

技术领域

本发明总体涉及计算机安全领域，且更具体地涉及用于阻断脚本执行的系统和方法。

背景技术

计算机和信息技术的蓬勃发展已导致用户在其日常生活中广泛使用电子商务、电子文件传输、云存储和其它计算机技术。例如，大量用户将其个人机密信息存储在计算机上，且压倒性多数商家借助电子设备和服务进行其金融和商业活动。

所描述的计算机技术的广泛使用已经反过来引起其用于黑客行为的情况的数量增加。大量不同的恶意程序(也称为恶意软件)已出现，且受恶意程序影响的计算机系统的数量显著增加。一些恶意程序从计算机系统窃取用户的个人机密数据(诸如登录名和密码、银行卡信息、电子文件)，其它恶意程序从被感染的计算机系统形成所谓的僵尸网络，以及另外的其它恶意程序对用户强加支付服务。

使用许多不同的安全技术(反病毒程序、防火墙、入侵检测系统(IDS)等)来保护计算机免受恶意程序，这些安全技术能够有效地检测恶意程序并移除恶意程序。尽管受恶意程序感染的计算机的有效修复对用户来说是更为重要的，但是对于公司来说，更为重要的是检测感染计算机系统的企图时的高运行效率和效果。

大多数现存的安全方案主要旨在检测和移除行为或结构已知的恶意软件。因此，当计算机系统发现其自身被新的、未知的或模糊的恶意软件(具体地，恶意脚本)攻击时，现存的安全方案变为无效的。此外，检测被复合恶意程序(具体地，恶意脚本)感染的计算机系统的任务也向已知的安全方案呈现很大难度，该复合恶意程序由几个文件组成，并不是每一个文件都携带恶意功能。

发明内容

公开了用于阻断恶意脚本的执行的系统和方法的示例性方面。示例性方法包括：通过硬件处理器拦截从客户端向服务器的对于脚本的请求；通过所述硬件处理器生成拦截的所述脚本的字节码；通过所述硬件处理器计算生成的所述字节码的散列和；通过所述硬件处理器确定所述字节码的所述散列和与存储在数据库中的恶意脚本和干净脚本的多个散列和之间的相似度；通过所述硬件处理器从所述数据库识别相似散列和，所述相似散列和与所述字节码的所述散列和的相似度在相似度阈值内；通过所述硬件处理器确定所述相似散列和的信任系数；通过所述硬件处理器基于所述相似散列和的所述相似度和所述信任系数确定请求的所述脚本是否为恶意的；以及通过所述硬件处理器阻断所述恶意脚本在所述客户端上的执行。

在一个示例性方面中，拦截对于脚本的请求包括：在所述客户端上提供配置成拦截网络脚本请求的驱动器。

在一个示例性方面中，所述字节码包括所述脚本的至少一个操作码。

在一个示例性方面中，生成所述脚本的字节码包括：通过所述硬件处理器识别脚本命令，所述脚本命令负责将数据写入磁盘、与文件系统的对象一起工作、以及执行程序的功能；通过所述硬件处理器基于识别的功能将识别的所述脚本命令分组为多个功能组；通过所述硬件处理器将二进制值分配给每个功能组；以及通过所述硬件处理器从所述二进制值生成所述字节码。

在一个示例性方面中，散列和包括模糊散列。

在一个示例性方面中，搜索匹配的散列和包括模糊搜索。