[发明专利]混淆脚本的处理方法及装置

说明书

本发明公开了一种混淆脚本的处理方法及装置。其中，该方法包括：从网络流量中提取待检测流量；识别上述待检测流量中是否存在混淆脚本；若识别结果为是，则通过对上述混淆脚本进行还原处理得到还原脚本；将上述待检测流量中的上述混淆脚本替换为上述还原脚本。本发明解决了现有技术中通过对混淆后的JAVA脚本提取规则的方式检测混淆脚本，无法准确检测出混淆脚本导致攻击检出率较低的技术问题。

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种混淆脚本的处理方法及装置。

背景技术

以当前网络流量中较大比例的HTTP流量为例，针对这种流量的攻击也相对较多，承载于HTTP流量中包含的Content-Type为text/html的内容中可能包含有JAVA脚本，有一些漏洞就可以由这些JAVA脚本发起攻击，此类攻击目前一般会在安全设备的入侵检测模块被检测到，整个检测过程包括流量的捕获，流量内容提取，基于攻击特征的内容匹配，发现攻击后的响应。

为了逃避入侵检测，攻击者会对JAVA脚本进行混淆处理，手段主要有增加冗余代码，动态生成代码，添加逻辑判断等，混淆的目的就是掩盖原有真实代码，这样就会使按照正常方式编码提取的攻击特征不能被命中，从而实现攻击逃逸掉入侵检测。在检测过程中解码器会将JAVA脚本原封不动送去入侵检测模块进行检测，由于攻击的特征一般是按原始写法提取的，因此原封不动送去检测对于混淆后的内容不容易被识别出的，并且经过混淆之后每次出现的内容都可能是不同的，因此，由于检测内容的不可预知性，例如，混淆可能只出现一次，导致对混淆后的JAVA脚本提取规则没有太大意义，因此经混淆的JAVA脚本是很难被识别出攻击的。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种混淆脚本的处理方法及装置，以至少解决现有技术中通过对混淆后的JAVA脚本提取规则的方式检测混淆脚本，无法准确检测出混淆脚本导致攻击检出率较低的技术问题。

根据本发明实施例的一个方面，提供了一种混淆脚本的处理方法，包括：从网络流量中提取待检测流量；识别上述待检测流量中是否存在混淆脚本；若识别结果为是，则通过对上述混淆脚本进行还原处理得到还原脚本；将上述待检测流量中的上述混淆脚本替换为上述还原脚本。

在一种可选的实施例中，上述待检测流量中包含至少一个待识别脚本，识别上述待检测流量中是否存在混淆脚本，包括：识别上述待识别脚本中是否存在可独立执行代码；若识别到存在上述可独立执行代码，则确定上述待检测流量中存在上述混淆脚本。

在一种可选的实施例中，上述待检测流量中包含至少一个待识别脚本，识别上述待检测流量中是否存在混淆脚本，包括：识别上述待识别脚本中是否存在待识别变量；若识别到存在上述待识别变量，则识别上述待识别变量是否为可剥离变量；若识别到上述待识别变量为上述可剥离变量，则确定上述待检测流量中存在上述混淆脚本。

在一种可选的实施例中，识别上述待识别脚本中是否存在可独立执行代码，包括：识别上述待识别脚本中的待识别代码是否满足目标条件，其中，上述目标条件包括：语法完整、符合预设的脚本规则、属于完整表达式；若识别到上述待识别代码满足上述目标条件，则确定存在上述可独立执行代码。

在一种可选的实施例中，识别上述待识别脚本中是否存在可独立执行代码，包括：识别上述待识别脚本中的待识别代码的函数是否为可执行函数，以及识别上述待识别代码中的操作符是否为可执行操作符；若识别到上述函数为上述可执行函数且上述操作符为上述可执行操作符，则确定存在上述可独立执行代码。

在一种可选的实施例中，通过对上述混淆脚本进行还原处理得到还原脚本，包括：以逻辑行为解析单位，对上述混淆脚本进行分解处理得到分解元素，其中，上述分解元素包括以下至少之一：常数，变量和操作符；控制上述分解元素加入执行栈，并确定上述分解元素中的可独立执行代码和非可独立执行代码；在上述逻辑行结束时触发执行上述可独立执行代码并输出的执行结果；基于上述执行结果确定上述还原脚本。