[发明专利]一种恶意脚本的检测方法、装置、电子设备及存储介质

说明书

本发明公开了一种恶意脚本的检测方法、装置、电子设备及存储介质，包括：将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行；在所述脚本代码仿真运行过程中，扫描所述脚本代码，并获取所述脚本代码的特征信息；根据所述脚本代码的特征信息，确定所述目标脚本文件是否为恶意脚本文件。采用本发明实施例，可以提高恶意脚本检测的有效性。

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种恶意脚本的检测方法、装置、电子设备及存储介质。

背景技术

JavaScript是一种常见的WEB脚本语言，JavaScript因其可以提供动态页面以及根据用户输入做出不同的响应的优点，而成为几乎所有的网站前端开发所选用的脚本语言，但也正因为可动态运行以完成特定功能的特点，JavaScript脚本文件常常成为恶意代码的源头，对用户终端的安全运行造成严重威胁。

现有的JavaScript脚本代码的检测技术包括静态扫描技术和沙箱技术。其中，一方面，静态扫描技术将目标JavaScript文件的脚本代码与已搜集到的病毒特征进行匹配，若匹配成功则确定目标JavaScript文件中包含恶意代码。然而，在JavaScript使用加密的情况下，静态扫描技术失效。另一方面，在沙箱技术中利用反病毒软件通过挂钩JavaScript的解析引擎中的核心函数，使得当JavaScript脚本运行至预设条件(比如解密操作完成)时被反病毒软件拦截并进行特征匹配，则可以避免脚本加密导致的检测的无效性，但由于JavaScript引擎版本众多，几乎无法得到一套能兼容所有引擎的沙箱，并且一旦遗漏某些重要的挂钩点，仍将造成沙箱逃逸现象，因此沙箱技术不仅实现过程复杂，而且恶意脚本检测有效性无法得到保证。

发明内容

本发明实施例提供一种恶意脚本的检测方法、装置、电子设备及存储介质。可以提高恶意脚本文件检测的有效性。

本发明第一方面提供了一种恶意脚本的检测方法，包括：

将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行；

在所述脚本代码仿真运行过程中，扫描所述脚本代码，并获取所述脚本代码的特征信息；

根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件。

其中，所述特征信息包括所述脚本代码中的变量值；

所述根据所述脚本代码的特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述变量值与病毒特征库中的病毒特征进行匹配；

当所述变量值与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

其中，所述特征信息包括所述脚本代码中的应用程序接口的运行参数；

所述根据所述脚本代码的特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述运行参数与病毒特征库中的病毒特征进行匹配；

当所述运行参数与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

其中，所述特征信息包括所述脚本代码仿真运行时调用所述应用程序接口的行为链；

所述根据所述脚本代码的特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述行为链与病毒特征库中的病毒特征进行匹配；

当所述行为链与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

其中，所述获取所述脚本代码的特征信息包括：

在所述脚本代码仿真运行过程中，记录所述应用程序接口的调用行为生成日志信息；