[发明专利]基于代码指纹识别的恶意脚本启发式检测方法及系统

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于代码指纹识别的恶意脚本启发式检测方法及系统。

背景技术

随着计算机的更新换代及互联网的普及，恶意代码也响应的发生着演变，无论是从数量上还是总类上都呈现出较高的增长趋势。其中，脚本类的恶意代码也在频频出现在我们的周围。

传统的启发式检测技术针对样本实体来进行分析，例如分析逻辑结构、虚拟环境中动态执行等等，从而进行启发式检测，但是现有的启发式检测方法不够快捷，一定程度上比较浪费资源。

发明内容

针对上述问题，本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法及系统，解决了现有检测方法速度较慢的问题，有效的提高了检测速度及准确度。

首先本发明提出一种基于代码指纹识别的恶意脚本启发式检测方法，包括：

获取输入的待检测脚本文件；

提取待检测脚本文件中的代码指纹属性；

将代码指纹属性生成代码指纹；

将所述代码指纹与代码指纹库匹配，若匹配成功，则根据代码指纹库确定待检测脚本文件来源，及待检测脚本文件的恶意度；否则对待检测脚本文件进行分析；

分析待检测脚本文件，若所述待检测脚本分析结果为恶意，则将提取到的代码指纹及代码来源添加到代码指纹库；若所述待检测脚本分析结果为非恶意，则放行所述待检测脚本文件。

所述的方法中，所述代码指纹属性为根据已知恶意脚本文件确定的代码属性，包括词组缩写、单词拼写、关键词、函数命名及参数名。

所述的方法中，所述代码指纹库由已知恶意脚本文件确定的代码指纹属性、对应权值及恶意脚本文件来源组成。

所述的方法中，将代码指纹属性生成代码指纹具体为：待检测脚本文件中提取到的所有代码指纹属性组成的数组，即为待检测脚本文件的代码指纹。

所述的方法中，将所述代码指纹与代码指纹库匹配，具体为：将所述代码指纹与代码指纹库匹配，并计算匹配的代码指纹的权值和，若权值和大于预设值，则匹配成功。

本发明还提出一种基于代码指纹识别的恶意脚本启发式检测系统，包括：

获取模块，用于获取输入的待检测脚本文件；

指纹提取模块，用于提取待检测脚本文件中的代码指纹属性；

指纹生成模块，用于将代码指纹属性生成代码指纹；

匹配模块，用于将所述代码指纹与代码指纹库匹配，若匹配成功，则根据代码指纹库确定待检测脚本文件来源，及待检测脚本文件的恶意度；否则对待检测脚本文件进行分析；

脚本分析模块，用于分析待检测脚本文件，若所述待检测脚本分析结果为恶意，则将提取到的代码指纹及代码来源添加到代码指纹库；若所述待检测脚本分析结果为非恶意，则放行所述待检测脚本文件；

代码指纹库模块，用于存储代码指纹库。

所述的系统中，所述代码指纹属性为根据已知恶意脚本文件确定的代码属性，包括词组缩写、单词拼写、关键词、函数命名及参数名。

所述的系统中，所述代码指纹库由已知恶意脚本文件确定的代码指纹属性、对应权值及恶意脚本文件来源组成。

所述的系统中，将代码指纹属性生成代码指纹具体为：待检测脚本文件中提取到的所有代码指纹属性组成的数组，即为待检测脚本文件的代码指纹。

所述的系统中，将所述代码指纹与代码指纹库匹配，具体为：将所述代码指纹与代码指纹库匹配，并计算匹配的代码指纹的权值和，若权值和大于预设值，则匹配成功。

本发明的关键在于，通过提取脚本编写特有的语法习惯、编写特点等作为代码指纹属性，然后通过相关规则转换为代码指纹，再录入代码指纹库。当遇到未知脚本代码时，将提取到的代码指纹，与代码指纹库进行匹配，再根据匹配到的来源的可信性进行恶意度的判定。

本发明方法相比传统的启发式检测，不需要进行复杂的逻辑分析，也不需要虚拟环境来动态执行脚本，而是采用基于代码指纹，根据代码来源的恶意性来进行启发式检测，可以有效的提高检测的速度、准确度等。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于代码指纹识别的恶意脚本启发式检测方法实施例流程图；

图2为本发明一种基于代码指纹识别的恶意脚本启发式检测系统实施例结构示意图。