[发明专利]一种基于多级投票机制的恶意混淆脚本静态检测方法

说明书

本发明属于Web安全技术领域，公开了一种基于多级投票机制的恶意混淆脚本静态检测方法，包括收集JavaScript混淆脚本样本，构建训练集和测试集；对JavaScript混淆脚本样本进行抽象语义知识表示，提取脚本语义表示结构；根据脚本语义表示结构提取脚本特征；选取脚本特征组合得到特征向量并输入至随机森林中，对特征向量进行模型训练、验证得到若干个训练好的随机森林模型；基于随机森林模型构建多个判别器；将多个判别器串联构建多级投票检测系统；利用多级投票检测系统对待检测JavaScript脚本进行预测，判定是否为恶意脚本。本发明能够实现对恶意脚本高效、高精度的检测。

技术领域

本发明属于Web安全技术领域，更具体地，涉及一种基于多级投票机制的恶意混淆脚本静态检测方法。

背景技术

随着网络技术的发展与丰富，各种Web应用海量增长。JavaScript作为一种功能完备的脚本语言，被广泛应用于Web应用的前端中。而Web平台的广泛使用也带来了严重的安全隐患，使得越来越多的攻击者将Web作为攻击媒介，使用JavaScript恶意脚本对Web用户终端进行攻击。攻击者为了规避检测，应用各种混淆技术来增强恶意脚本的隐蔽性，因此，针对混淆恶意脚本的高效且高精度检测技术的研究迫在眉睫。

为了保障计算机系统的安全，解决恶意脚本对网络空间安全带来的威胁，学术界对混淆恶意脚本的检测方法进行了大量的研究，现阶段的工作主要从以下几方面开展：

1、基于动态执行的检测。基于动态执行的检测方法又分为网站运行中的检测和基于蜜罐技术的检测。基于网站运行过程中的恶意脚本检测需要对浏览器进行修改，但因为浏览器版本会更新换代，这种方法普适性较差，且修改浏览器还可能引入新的漏洞。蜜罐技术通过虚拟机中的Web浏览器访问网站，监测虚拟机系统是否受到恶意脚本攻击，若受到攻击则可在新的虚拟机中使用同样的检测方式。这类检测方式开销大、效率低，而且模拟环境与真实环境存在差距，相应的恶意脚本检测方法在真实环境中可能不适用。

2、基于静态分析的检测。基于静态分析的恶意脚本检测方法主要通过分析脚本的语义信息来入手，包括脚本中关键字的分布情况、实例化控件的次数以及函数或方法的调用等。一些学者通过建立脚本的抽象语法树，基于抽象语法树提取语法单元，并结合机器学习算法进行恶意脚本的检测。基于静态分析的恶意脚本检测方法效率比基于动态分析的检测更高，但往往会出现不同程度的假阴性和假阳性，而且之前的静态分析方法提取的抽象语法树中未保留控件和数据流等语义信息，只考虑了脚本的语义顺序，未考虑脚本逻辑顺序。

发明内容

本发明通过提供一种基于多级投票机制的恶意混淆脚本静态检测方法，解决现有技术中恶意脚本检测方法的精度较低的问题。

本发明提供一种基于多级投票机制的恶意混淆脚本静态检测方法，包括以下步骤：

步骤S1，收集JavaScript混淆脚本样本，构建训练集和测试集；所述JavaScript混淆脚本样本包括混淆恶意脚本和混淆良性脚本；

步骤S2，对所述JavaScript混淆脚本样本进行抽象语义知识表示，提取脚本语义表示结构；所述脚本语义表示结构包括脚本的词法信息、抽象语法树、控制流图、程序依赖图；

步骤S3，根据所述脚本语义表示结构，提取脚本特征；选取所述脚本特征组合得到特征向量；将所述特征向量输入至随机森林中，利用所述训练集对所述特征向量进行模型训练，并利用所述测试集进行模型验证，得到若干个训练好的随机森林模型；

步骤S4，基于若干个所述训练好的随机森林模型构建多个判别器；将多个所述判别器串联，构建多级投票检测系统；

步骤S5，利用多级投票检测系统对待检测JavaScript脚本进行预测，判定待检测JavaScript脚本是否为恶意脚本。