[发明专利]一种基于词法分析的混淆加密脚本识别方法

说明书

本发明涉及一种基于词法分析的混淆加密脚本识别方法。该方法首先以人类语言单词集合为基础，结合网络上随机采集的大数据脚本文件(非恶意)进行训练，生成脚本词典；然后利用该词典，对网络上随机采集的另一批大数据脚本文件(非恶意)进行词法覆盖率检测，确定词法覆盖率的最低阈值，同时统计这批脚本文件的注释量与代码量的比例，确定注释代码比例的最高阈值；最后在实际检测阶段，对待测样本进行词法分析与注释量分析，通过评估其词法覆盖率是否低于阈值或注释比例是否高于阈值，判定其是否为经过混淆加密的恶意脚本。若判定为非混淆加密的样本则运用其它现有检测方法进一步检测其是否为恶意脚本。本发明具有很高的检测效率和检测准确度。

技术领域

本发明属于恶意代码检测技术领域，具体涉及一种基于词法分析的针对混淆加密脚本的检测方法。

背景技术

随着信息社会的发展，计算机和网络在社会各个领域的应用越来越广泛，信息系统的重要性也与日俱增。与此同时，恶意代码攻击带来的危害也日益严重，尤其是隐藏在vbs、js等各类脚本中的恶意代码，由于其完全基于文本的内容组织形式，具有传输范围广、跨平台能力强、变形加密门槛低、特征码检测难度大等特点，已成为目前最常见的恶意代码形式。例如近年来爆发的大量通过恶意邮件等途径传播的勒索软件，绝大部分是以混淆加密后的恶意脚本为载体，对公共安全和数据安全构成了巨大威胁。因此，针对恶意脚本、特别是混淆加密型恶意脚本的检测是目前信息安全领域亟需解决的重要问题。

目前恶意脚本的混淆加密方法分为两大类，一是对函数名、变量名、换行缩进风格等进行变形，消除其静态特征；二是插入大量注释淹没或打断恶意代码功能片段，减少其静态特征权重。而当前的恶意脚本检测技术，通常使用以下几种方法：

1.基于指纹识别的恶意代码检测方法，即对脚本文件进行静态二进制扫描，并对比恶意代码特征库中的已有恶意代码特征，实现恶意脚本检测。该方法只能针对已知的恶意代码特征进行检测，而恶意脚本是基于文本的解释执行语言，具有非常灵活的混淆加密方式，能够轻易绕过这类检测方法。例如替换特征变量名和函数名、将敏感特征字符串拆分成各种字符组合、以注释的形式在特征代码中穿插大量无意义数据等。

2.基于动态调试的恶意代码检测方法，即使用调试器跟踪脚本宿主对恶意脚本解释执行过程，捕获该过程中出现的各种系统行为，并分析其中是否存在恶意行为，从而实现恶意代码检测。由于该方法不容易界定行为产生自脚本文件还是脚本宿主，加上分析过程需要大量专业的人工干预，因此更适合作为一种分析方法。应用到检测方面，其实际操作难度较大，准确度较低。

3.基于虚拟执行的恶意代码检测方法，即将脚本文件置入沙箱等虚拟环境进行模拟执行，动态分析其运行过程，提取相关行为特征，与行为白名单做对比，实现恶意代码检测。由于这种方法需要实际运行脚本文件，为防止恶意代码对真实环境的穿透，通常需结合VMWare等虚拟机技术开展检测工作。对于这类方法，一方面当前大量恶意代码的行为会依赖特殊的触发条件，如检测到虚拟环境则终止执行、如检测到网络环境不真实则终止执行等，使得检测难度增大；另一方面由于脚本类恶意代码的轻量级特性，导致其传播范围广、爆发性强，目前在实际场景中，这类基于虚拟执行的检测方法尚难以满足性能需求。

综上所述，目前恶意脚本的检测方法，其主要缺陷在于：针对混淆加密类型的恶意代码，快速静态检测的能力不足；而动态检测方法和虚拟检测方法均需要大量专业的人工分析干预，且面临行为触发难度较大的问题和检测性能难以满足实际检测场景需求的问题。

发明内容

本发明是一种基于词法分析的恶意脚本检测方法，重点解决的问题是对混淆加密型恶意脚本的快速识别。