[发明专利]基于代码语法分析器的网站恶意代码检测方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种动态网站脚本语言恶意代码检测方法及装置。

背景技术

恶意代码是威胁计算机安全的重要形式之一，本质上是一段计算机代码，这段代码可以按照攻击者的意愿执行一系列包含恶意企图的操作。代码的形式包括：可执行代码性指令、脚本语言、字处理宏语言。

对于动态网站而言，其一般是通过后台挂载的脚本(比如php，jsp，asp等)使得网页和用户之间实现一种实时性的、动态的、交互性的关系，使网页可以包含更多活跃的元素和更加精彩的内容。而黑客通过将自己写的恶意代码绕过服务器限制上传到服务器或者将恶意代码植入到已有的网站后台页面中，进而使脚本语言执行黑客的恶意代码，这样黑客就可以访问他上传了恶意代码的网站，从而导致安全问题。面对这些安全问题，亟需对动态网站的安全问题进行深入研究，提高对动态网站的恶意脚本的检测能力，保障互联网应用的安全。

根据分析对象的不同，现有技术中恶意代码的检测技术分为静态检测和动态检测。

其中，静态检测是基于模式匹配的思想，通过查找脚本文件中是否存在危险函数来确定是否存在恶意代码。然而，黑客只要将恶意代码在代码形式上做个混淆变形就能绕过已有的危险函数检测，因而准确率比较低。

动态检测是基于行为的检测技术，一般需要动态执行代码或者虚拟执行代码，然后监测代码的执行过程是否存在病毒的特有行为来监测病毒。这种方式能够解决危险函数混淆变形导致的准确率较低的问题，但是这种检测方式需要在检测恶意代码时进行执行代码的过程，成本较高。

综上所述，可见：传统的动态网站恶意代码检测方法存在检测准确性较差或成本较高的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种基于代码语法分析器的网站恶意代码检测方法及装置，以缓解传统的动态网站恶意代码检测方法存在检测准确性较差或成本较高的技术问题。

第一方面，本发明实施例提供了一种基于代码语法分析器的网站恶意代码检测方法，包括：

获取待检测脚本的执行代码，其中，所述待检测脚本为用于实现目标动态网站的网站功能的脚本，所述执行代码为预先保存的代码；

利用代码语法分析器将所述待检测脚本的执行代码编译成字节码；

根据所述字节码，对所述目标动态网站进行检测，以检测得到对所述目标动态网站进行恶意操控的恶意代码。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，根据所述字节码，对所述目标动态网站进行检测，包括：

获取待检测恶意代码的代码特征，其中，所述代码特征包括预设危险函数；

遍历所述字节码，判断所述字节码中是否存在所述预设危险函数的执行指令；

在判断出是的情况下，确定出所述目标动态网站存在所述待检测恶意代码。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，在确定出所述目标动态网站存在所述待检测恶意代码之后，所述方法还包括：

确定所述预设危险函数的调用参数；

在所述字节码中，从所述预设危险函数的执行指令所处的位置开始，对目标字节码进行遍历，以从所述目标字节码中确定出所述调用参数的数值输入接口，并在确定出所述数值输入接口的情况下，将所述数值输入接口作为恶意操控的访问接口，所述目标字节码为所述字节码中位于所述预设危险函数的执行指令之前的字节码。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，在确定出所述调用参数的数值输入接口之后，所述方法还包括：

通过所述数值输入接口，向所述调用参数赋予预设数值；

执行所述待检测脚本，得到所述预设危险函数的执行结果；

根据所述执行结果，确定所述预设危险函数的危险类型。

结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，在确定出所述预设危险函数的危险类型之后，所述方法还包括：

创建危险报告，所述危险报告中至少包括以下之一：所述预设危险函数、所述数值输入接口、所述危险类型。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第五种可能的实施方式，其中，在获取待检测恶意代码的代码特征之前，所述方法还包括：

获取多个恶意代码样本；

从所述恶意代码样本中，抽取恶意代码特征；