[发明专利]恶意脚本的检测方法及装置、设备、存储介质

说明书

本申请实施例公开了一种恶意脚本的检测方法及装置、设备和存储介质，其中，所述方法包括：获取第一待测脚本和第二待测脚本；其中，第二待测脚本为对第一待测脚本进行至少一次常量折叠和常量传播处理后得到；确定第二待测脚本中目标函数出现的次数；其中，第一待测脚本中不包含目标函数；如果目标函数出现的次数大于第一预设阈值，确定第一待测脚本为恶意脚本。如此，能够对第一待测脚本进行轻量级的解混淆，从而通过比对解混淆前后程序中对敏感函数调用次数的增量，识别攻击方隐藏敏感函数调用的意图，判断恶意文件。

技术领域

本申请实施例涉及电子技术，涉及但不限于一种恶意脚本的检测方法及装置、设备、存储介质。

背景技术

随着信息社会的发展，计算机和网络在社会各个领域的应用越来越广泛，信息系统的重要性也与日俱增。与此同时，恶意代码攻击带来的危害也日益严重，尤其是隐藏在各类脚本中的恶意代码，由于其完全基于文本的内容组织形式，具有传输范围广、跨平台能力强、变形加密门槛低、特征码检测难度大等特点，已成为目前最常见的恶意代码形式。

其中，JavaScript是互联网时代下广为使用的脚本语言，网络上存在大量的JavaScript程序，为用户日常访问网站提供了重要功能。在此背景下，恶意JavaScript程序混杂在大量正常程序中，对网络和主机造成侵害。

而混淆技术作为一种成熟技术，常被JavaScript恶意程序用于绕过反病毒系统。同时，一些正常的JavaScript程序，出于保护知识产权或增加网络传输速度的目的，也是用混淆技术。因此，现有技术中仅仅依据JavaScript程序是否为混淆程序来判断其是否为恶意程序是不充分的，往往造成误判。因此，如何更精确、快速地检测恶意脚本，尤其是采用了混淆技术的恶意脚本，成为本领域技术人员亟待解决的重要问题。

发明内容

有鉴于此，本申请实施例提供一种恶意脚本的检测方法及装置、设备、存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种恶意脚本的检测方法，所述方法包括：获取第一待测脚本和第二待测脚本；其中，所述第二待测脚本为对所述第一待测脚本进行至少一次常量折叠和常量传播处理后得到；确定所述第二待测脚本中目标函数出现的次数；其中，所述第一待测脚本中不包含所述目标函数；如果所述目标函数出现的次数大于第一预设阈值，确定所述第一待测脚本为恶意脚本。如此，能够对第一待测脚本进行轻量级的解混淆，从而通过比对解混淆前后程序中对敏感函数调用次数的增量，识别攻击方隐藏敏感函数调用的意图，判断恶意文件。

在一些实施例中，所述方法还包括：对所述第一待测脚本进行常量折叠和常量传播处理，在迭代条件完成时得到所述第二待测脚本。如此，能够在考虑计算代价超过指定的预算或程序达到不动点的情况下，快速地对待测脚本进行轻量级的解混淆，从而通过比对解混淆前后程序中对敏感函数调用次数的增量，识别攻击方隐藏敏感函数调用的意图，判断恶意文件。

在一些实施例中，所述迭代条件完成，包括：每轮迭代后，比较本轮迭代后的待测脚本与本轮迭代前的待测脚本，以确定所述本轮迭代后的待测脚本中是否存在新增的常量；如果不存在新增的常量，确定迭代完成。如此，能够在程序达到不动点的情况下，完成迭代。

在一些实施例中，所述迭代条件完成，还包括：如果存在新增的常量，确定已完成的常量折叠和常量传播处理的次数；如果所述处理的次数大于第二预设阈值，确定迭代完成。如此，能够在迭代次数超过迭代次数阈值的情况下，完成迭代。

在一些实施例中，所述迭代条件完成，包括：在第一定时器的定时时长到达之后，确定迭代完成；其中，所述第一定时器在进行脚本检测时开启。如此，能够在检测时长超过设置的时长的情况下，完成迭代。