[发明专利]一种脚本检测方法及装置

说明书

本发明公开了一种脚本检测方法及装置，所述方法包括：提取目标脚本中的全部变量名；计算每个变量名对应的变量名概率值；所述变量名概率值通过对所述变量名中的连续字符进行组合，并计算将得到的组合与基础概率表进行匹配而得到；进一步根据变量名概率值对全部变量名进行分类；由分类结果得到所述目标脚本的检测结果；本发明能够高效准确地实现混淆变形样本的检测，提升病毒样本的光谱通杀性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种脚本检测方法及装置。

背景技术

脚本(Script)是批处理文件的延伸，是一种纯文本保存的程序，一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合，在其中可以实现一定的逻辑分支等。

近年来，恶意脚本呈爆炸式趋势增长，其中大量脚本使用了种类繁多的混淆手段，以避免反病毒引擎的查杀，这增加了分析人员的时间成本和反病毒引擎的检测难度。

混淆脚本的检测能力属于对抗恶意脚本的一项关键能力；因此需要提供一种能够有效进行混淆脚本检测的技术方案以实现病毒引擎的通杀性。

发明内容

本发明提供了一种脚本检测方法及装置，具体地：

一方面提供了一种脚本检测方法，所述方法包括：

提取目标脚本中的全部变量名；

计算每个变量名对应的变量名概率值；所述变量名概率值是通过对每个变量名中的连续字符进行组合，将得到的组合与基础概率表进行匹配而得到的；

根据变量名概率值对全部变量名进行分类；

根据分类结果得到所述目标脚本的检测结果。

另一方面提供了一种脚本检测装置，所述装置包括：

变量名提取模块，用于提取目标脚本中的全部变量名；

变量名概率值计算模块，用于计算每个变量名对应的变量名概率值；所述变量名概率值是通过对每个变量名中的连续字符进行组合，将得到的组合与基础概率表进行匹配而得到的；

变量名分类模块，用于根据变量名概率值对全部变量名进行分类；

检测结果得到模块，用于根据分类结果得到所述目标脚本的检测结果。

另一方面提供了一种设备，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的脚本检测方法。

另一方面提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述方面所述的脚本检测方法。

本发明提供的一种脚本检测方法及装置，具有的有益效果为：

本发明通过提取目标脚本中的全部变量名；计算每个变量名对应的变量名概率值；所述变量名概率值通过对所述变量名中的连续字符进行组合，并计算将得到的组合与基础概率表进行匹配而得到；进一步根据变量名概率值对全部变量名进行分类；由分类结果得到所述目标脚本的检测结果；本发明能够高效地实现混淆变形样本的检测，提升病毒样本的光谱通杀性。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本说明书实施例提供的一种脚本检测方法流程图；