[发明专利]基于代码语法分析器的网站恶意代码检测方法及装置

权利要求书

1.一种基于代码语法分析器的网站恶意代码检测方法，其特征在于，包括：

获取待检测脚本的执行代码，其中，所述待检测脚本为用于实现目标动态网站的网站功能的脚本，所述执行代码为预先保存的代码；

利用代码语法分析器将所述待检测脚本的执行代码编译成字节码；

根据所述字节码，对所述目标动态网站进行检测，以检测得到对所述目标动态网站进行恶意操控的恶意代码。

2.根据权利要求1所述的方法，其特征在于，根据所述字节码，对所述目标动态网站进行检测，包括：

获取待检测恶意代码的代码特征，其中，所述代码特征包括预设危险函数；

遍历所述字节码，判断所述字节码中是否存在所述预设危险函数的执行指令；

在判断出是的情况下，确定出所述目标动态网站存在所述待检测恶意代码。

3.根据权利要求2所述的方法，其特征在于，在确定出所述目标动态网站存在所述待检测恶意代码之后，所述方法还包括：

确定所述预设危险函数的调用参数；

在所述字节码中，从所述预设危险函数的执行指令所处的位置开始，对目标字节码进行遍历，以从所述目标字节码中确定出所述调用参数的数值输入接口，并在确定出所述数值输入接口的情况下，将所述数值输入接口作为恶意操控的访问接口，所述目标字节码为所述字节码中位于所述预设危险函数的执行指令之前的字节码。

4.根据权利要求3所述的方法，其特征在于，在确定出所述调用参数的数值输入接口之后，所述方法还包括：

通过所述数值输入接口，向所述调用参数赋予预设数值；

执行所述待检测脚本，得到所述预设危险函数的执行结果；

根据所述执行结果，确定所述预设危险函数的危险类型。

5.根据权利要求4所述的方法，其特征在于，在确定出所述预设危险函数的危险类型之后，所述方法还包括：

创建危险报告，所述危险报告中至少包括以下之一：所述预设危险函数、所述数值输入接口、所述危险类型。

6.根据权利要求2所述的方法，其特征在于，在获取待检测恶意代码的代码特征之前，所述方法还包括：

获取多个恶意代码样本；

从所述恶意代码样本中，抽取恶意代码特征；

将所述恶意代码特征存储在数据库中，以便通过读取所述数据库来从所述恶意代码特征中选取所述待检测恶意代码的代码特征。

7.一种基于代码语法分析器的网站恶意代码检测装置，其特征在于，包括：

第一获取模块，用于获取待检测脚本的执行代码，其中，所述待检测脚本为用于实现目标动态网站的网站功能的脚本，所述执行代码为预先保存的代码；

编译模块，用于在所述待检测脚本的执行过程中，利用代码语法分析器将所述待检测脚本的执行代码编译成字节码；

检测模块，用于根据所述字节码，对所述目标动态网站进行检测，以检测得到对所述目标动态网站进行恶意操控的恶意代码。

8.根据权利要求7所述的装置，其特征在于，所述检测模块包括：

获取单元，用于获取待检测恶意代码的代码特征，其中，所述代码特征包括预设危险函数；

判断单元，用于遍历所述字节码，判断所述字节码中是否存在所述预设危险函数的执行指令；

确定单元，用于在判断出是的情况下，确定出所述目标动态网站存在所述待检测恶意代码。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

第一确定模块，用于在确定出所述目标动态网站存在所述待检测恶意代码之后，确定所述预设危险函数的调用参数；

第二确定模块，用于在所述字节码中，从所述预设危险函数的执行指令所处的位置开始，对目标字节码进行遍历，以从所述目标字节码中确定出所述调用参数的数值输入接口，并在确定出所述数值输入接口的情况下，将所述数值输入接口作为恶意操控的访问接口，所述目标字节码为所述字节码中位于所述预设危险函数的执行指令之前的字节码。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

赋值模块，用于在确定出所述调用参数的数值输入接口之后，通过所述数值输入接口，向所述调用参数赋予预设数值；

执行模块，用于执行所述待检测脚本，得到所述预设危险函数的执行结果；

第三确定模块，用于根据所述执行结果，确定所述预设危险函数的危险类型。