[发明专利]网页中的JavaScript代码解混淆方法

说明书

本发明涉及一种网页中的JavaScript代码解混淆方法，通过对脚本代码的解混淆处理来改进基于特征的静态检测方法。该方法首先对网页中的脚本代码进行格式化和语义的初步还原；然后，从脚本代码中确定每个混淆代码所对应的解混淆代码；并通过该解混淆代码还原隐藏在混淆代码中的原始代码。本发明能有效还原网页中隐藏在混淆代码中的原始代码，使原本被混淆的特征重新暴露出来，从而显著提高恶意网页检测引擎对存在混淆的恶意网页的检测率。此外，经过解混淆处理后的代码结构、语义、格式等方面都得到了改善，便于对其进行数据流和控制流分析，可与其他工具结合，辅助分析代码，提高效率，或作为浏览器插件，快速评估所浏览的网页，并给出安全性分析报告。

技术领域

本发明涉及一种网页中的JavaScript代码解混淆方法。

背景技术

目前，有众多安全厂商推出基于特征的恶意网页检测引擎，这类引擎能有效地检测出不包含混淆代码的恶意网页，在很大程度上保护了互联网用户的信息安全。但恶意网页常使用混淆技术来混淆恶意代码与解混淆代码，以此隐藏恶意代码的特征，从而避开恶意网页检测引擎的检测。因此，有效检测包含混淆代码的恶意网页，对于保护互联网用户的信息与系统安全具有重要的实际意义。

近几年国内外对恶意网页检测的研究工作主要采用机器学习的方法，所使用的学习算法涵盖了常用的机器学习算法，如朴素Bayes、随机森林RF、k-Means、k-近邻、LDA、SVM、概率神经网络等；使用的特征来自网页的静态、动态、以及静态与动态混合等三类特征。这些工作同样采用基于特征的方法，除个别用到JSBeautifier(该工具用于美化代码显示风格)来获取混淆代码格式特征外，其余工作鲜有对混淆代码的还原，也没有从中抽取特征，

网页常包含大量使用JavaScript语言编写的代码，而JavaScript语言的动态性与弱类型的特点，使得检测包含混淆代码的恶意网页充满挑战。首先，JavaScript语言的动态性使得网页中的代码可以动态生成，即部分代码运行产生的数据可以是后继运行的代码。这个特点使得混淆代码与解混淆代码都能以数据的形式散布在网页中，这些数据无明显特征，可读性差，增加了界定混淆代码与解混淆代码的难度；其次，JavaScript语言的弱类型使得代码中的变量类型在代码运行过程是可变的。这个特点使得包含混淆代码的数据与用于生成解混淆代码的有关数据可能是异质，这导致混淆代码与解混淆代码之间的关联关系弱化甚至不明确。另外，良性网页也经常使用混淆方法来保护数据与知识产权，所以是否包含混淆代码不能作为判定恶意网页的特征。因此，自动解混淆网页中所包含的混淆代码成为有效检测包含混淆代码的恶意网页的技术关键。

发明内容

有鉴于此，本发明的目的在于提供一种网页中的JavaScript代码解混淆方法，用以快速检测混淆代码并进行解混淆。

为实现上述目的，本发明采用如下技术方案：

一种网页中的JavaScript代码解混淆方法，其特征在于：

步骤S1：采集待处理网页的数据集合，包括标签内容、标签属性值和JavaScript代码集；

步骤S2：根据采集的数据集合，显式化待处理网页中的JavaScript代码标识符，找出隐藏在字符串对象中的可疑数据标识符并进行显式表示；

步骤S3：采集网页中所有包含混淆代码的数据，并将这些数据组成可疑数据集合；

步骤S4：根据显式化后的JavaScript代码标识符和可疑数据标识符，确定解混淆函数序列；

步骤S5:对可疑数据集合中的可疑数据利用解混淆函数序列进行多次解混淆处理，直到结果中不存在可疑数据为止，还原出包含在可疑数据中的原始代码或数据。

进一步的，所述步骤S2采用后向切片方法回溯所述字符串对象的值查找隐藏在字符串对象中的可疑数据标识符。

进一步的，所述包含混淆代码的数据满足以下条件：