[发明专利]一种恶意脚本检测方法及相关装置

权利要求书

1.一种恶意脚本检测方法，其特征在于，包括：

提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本；

计算所述待检测脚本的内容与预设恶意特征之间的相似度；其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征；

利用所述相似度确定所述待检测脚本的检测结果；

其中，所述计算所述待检测脚本内容与预设恶意特征的相似度，包括：

利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度，并对每种相似度计算方法的计算结果进行平均处理，得到最终相似度；

其中，所述提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本，包括：

提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中获取所有文件数据；

利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。

2.根据权利要求1所述的方法，其特征在于，所述利用所述相似度确定所述待检测脚本的检测结果，包括：

确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。

3.根据权利要求2所述的方法，其特征在于，所述利用所述相似度确定所述待检测脚本的检测结果，包括：

确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。

4.根据权利要求3所述的方法，其特征在于，所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后，还包括：

确定用于请求获取所述可疑脚本的URL；

判断所述URL是否为危险URL；

若是，则确定所述可疑脚本为恶意脚本。

5.根据权利要求3所述的方法，其特征在于，所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后，还包括：

利用沙箱执行所述可疑脚本；

判断执行结果是否为恶意结果；

若是，则确定所述可疑脚本为恶意脚本。

6.根据权利要求1所述的方法，其特征在于，所述预设白名单包括文件格式白名单：其中，所述文件格式白名单包括预设文件格式类型。

7.根据权利要求1至5任意一项所述的方法，其特征在于，所述提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本，包括：

提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中获取所有文件数据；

对每个所述文件数据的文件内容进行检测，将文件内容符合脚本代码特征的文件作为待检测脚本。

8.一种恶意脚本检测系统，其特征在于，包括：

待检测脚本确定模块，用于提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本；

相似度计算模块，用于计算所述待检测脚本的内容与预设恶意特征之间的相似度；其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征；

检测结果确定模块，用于利用所述相似度确定所述待检测脚本的检测结果；

其中，所述相似度计算模块，具体用于利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度，并对每种相似度计算方法的计算结果进行平均处理，得到最终相似度；

其中，所述待检测脚本确定模块，包括：

第一文件数据获取单元，用于提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中获取所有文件数据；

第一待检测脚本确定单元，用于利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。

9.根据权利要求8所述的系统，其特征在于，所述检测结果确定模块，具体用于确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。