[发明专利]一种基于多级投票机制的恶意混淆脚本静态检测方法

权利要求书

1.一种基于多级投票机制的恶意混淆脚本静态检测方法，其特征在于，包括以下步骤：

步骤S1，收集JavaScript混淆脚本样本，构建训练集和测试集；所述JavaScript混淆脚本样本包括混淆恶意脚本和混淆良性脚本；

步骤S2，对所述JavaScript混淆脚本样本进行抽象语义知识表示，提取脚本语义表示结构；所述脚本语义表示结构包括脚本的词法信息、抽象语法树、控制流图、程序依赖图；

步骤S3，根据所述脚本语义表示结构，提取脚本特征；选取所述脚本特征组合得到特征向量；将所述特征向量输入至随机森林中，利用所述训练集对所述特征向量进行模型训练，并利用所述测试集进行模型验证，得到若干个训练好的随机森林模型；

步骤S4，基于若干个所述训练好的随机森林模型构建多个判别器；将多个所述判别器串联，构建多级投票检测系统；

所述多级投票检测系统包括m个串联的判别器；

第1个判别器由两个不同类型的随机森林模型构成，第m个判别器由一个随机森林模型构成；其中，i为1至m-1的整数；

若第i个判别器中的两个不同类型的随机森林模型得到的判别结果一致，则认为判别结束，并输出判别结果；若第i个判别器中的两个不同类型的随机森林模型得到的判别结果不一致，则通过第i+1个判别器继续进行判别；

若第m-1判别器中的两个不同类型的随机森林模型得到的判别结果不一致，则通过第m个判别器进行判别，所述第m个判别器基于第m个判别器中的一个随机森林模型得到判别结果；

步骤S5，利用多级投票检测系统对待检测JavaScript脚本进行预测，判定待检测JavaScript脚本是否为恶意脚本。

2.根据权利要求1所述的基于多级投票机制的恶意混淆脚本静态检测方法，其特征在于，所述步骤S1中，还包括：对收集的所述JavaScript混淆脚本样本进行数据清洗预处理，删除脚本中多余的空格、注释。

3.根据权利要求1所述的基于多级投票机制的恶意混淆脚本静态检测方法，其特征在于，所述步骤S1中，所述训练集包括第一数量的JavaScript混淆脚本样本，所述测试集包括第二数量的JavaScript混淆脚本样本；所述第一数量为整个样本数量的2/3至4/5。

4.根据权利要求1所述的基于多级投票机制的恶意混淆脚本静态检测方法，其特征在于，所述步骤S2包括以下子步骤：

步骤S21，提取脚本的词法信息，将脚本线性转换为代表词法信息的抽象符号列表；其中，所述抽象符号包括关键字、标识符；

步骤S22，提取脚本的抽象语法树，使用脚本解析器产生若干个不同的语法节点；其中，语法节点表示操作符，叶节点表示操作数；

步骤S23，基于所述抽象语法树，加入带标签的有向边连接以表示控制流，得到脚本的控制流图；

步骤S24，基于所述控制流图，加入数据流信息，将函数调用节点连接到具有数据依赖性的函数调用节点，得到脚本的程序依赖图。

5.根据权利要求1所述的基于多级投票机制的恶意混淆脚本静态检测方法，其特征在于，所述步骤S3中，所述脚本特征包括脚本的变量名特征、n元语法特征；所述步骤S3包括以下子步骤：

步骤S31，将所述词法信息、所述抽象语法树、所述控制流图、所述程序依赖图中的每个语法单元及其对应的值进行组合，提取变量名特征；

步骤S32，使用深度优先遍历法，遍历所述抽象语法树、所述控制流图、所述程序依赖图，提取n元语法特征；

步骤S33，将所述步骤S31和步骤S32中提取得到的每一个脚本特征与构造的向量空间中的一个维度相关联，根据应用场景选取特征组合，将特征对应的频数存储在对应的向量空间中的位置，得到所述特征向量；

步骤S34，将所述特征向量输入到随机森林中进行模型训练。