[发明专利]用于检测网络钓鱼脚本的系统和方法

权利要求书

1.一种用于检测网络钓鱼脚本的方法，所述方法包括：

通过硬件处理器在脚本中识别负责将数据写入磁盘、与文件系统的对象一起工作、以及执行程序的功能的命令；

通过所述硬件处理器将识别的所述命令分组为多个功能组；

通过所述硬件处理器为每个功能组生成字节码；

通过所述硬件处理器计算生成的所述字节码的散列和；

通过所述硬件处理器确定所述字节码的所述散列和与已知的网络钓鱼脚本的一组或多组散列和中的散列和之间的相似度；

通过所述硬件处理器识别至少一组散列和，所述至少一组散列和包含有这样的散列和，其与所述字节码的所述散列和的相似度在阈值范围内；

通过所述硬件处理器确定所识别的所述至少一组散列和的紧密度系数和所识别的所述至少一组散列和的信任系数，其中，所述紧密度系数指示所计算的散列和将相似于所述组的多少个散列和，所述信任系数指示有多少用于形成所述组的散列和的脚本包含用于网络钓鱼的数据；以及

通过所述硬件处理器基于所述相似度、所述紧密度系数和所述信任系数确定所述脚本是否为网络钓鱼脚本。

2.如权利要求1所述的方法，其中，所述字节码包括所述脚本的至少一个操作码。

3.如权利要求1所述的方法，其中，生成所述字节码还包括：

通过所述硬件处理器将二进制值分配给每个功能组；以及

通过所述硬件处理器从所述二进制值生成所述字节码。

4.如权利要求1所述的方法，其中，散列和包括模糊散列。

5.如权利要求1所述的方法，其中，搜索匹配的散列和包括模糊搜索。

6.如权利要求1所述的方法，其中，确定所识别的所述至少一组散列和的所述紧密度系数和所述信任系数还包括：确定所识别的所述至少一组散列和的指标，其中，所述指标指示所述信任系数依赖于所识别的所述至少一组散列和的紧密度系数的程度。

7.一种用于检测网络钓鱼脚本的系统，所述系统包括：

硬件处理器，所述硬件处理器配置成：

在脚本中识别负责将数据写入磁盘、与文件系统的对象一起工作、以及执行程序的功能的命令；

将识别的所述命令分组为多个功能组；

为每个功能组生成字节码；

计算生成的所述字节码的散列和；

确定所述字节码的所述散列和与已知的网络钓鱼脚本的一组或多组散列和中的散列和之间的相似度；

识别至少一组散列和，所述至少一组散列和包含这样的散列和，其与所述字节码的所述散列和的相似度在阈值范围内；

确定所识别的所述至少一组散列和的紧密度系数和所识别的所述至少一组散列和的信任系数，其中，所述紧密度系数指示所计算的散列和将相似于所述组的多少个散列和，所述信任系数指示有多少用于形成所述组的散列和的脚本包含用于网络钓鱼的数据；以及

基于所述相似度、所述紧密度系数和所述信任系数确定所述脚本是否为网络钓鱼脚本。

8.如权利要求7所述的系统，其中，所述字节码包括所述脚本的至少一个操作码。

9.如权利要求7所述的系统，其中，生成所述字节码还包括：

将二进制值分配给每个功能组；以及

从所述二进制值生成所述字节码。

10.如权利要求7所述的系统，其中，散列和包括模糊散列。

11.如权利要求7所述的系统，其中，搜索匹配的散列和包括模糊搜索。

12.如权利要求7所述的系统，其中，确定所识别的所述至少一组散列和的所述紧密度系数和所述信任系数还包括：确定所识别的所述至少一组散列和的指标，其中，所述指标指示所述信任系数依赖于所识别的所述至少一组散列和的紧密度系数的程度。