[发明专利]一种恶意脚本检测方法及相关装置

说明书

本发明公开了一种恶意脚本检测方法，包括：提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本；计算所述待检测脚本的内容与预设恶意特征之间的相似度；其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征；利用所述相似度确定所述待检测脚本的检测结果。从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外，通过计算待检测脚本的内容与预设恶意特征之间的相似度，可以确定待检测脚本本身的检测结果，从而可以有效避免使用正常源地址发送恶意脚本的情况，使检测结果更加准确。本申请还提供了一种恶意脚本检测系统、装置及计算机可读存储介质，同样可以实现上述技术效果。

技术领域

本发明涉及信息安全领域，更具体地说，涉及一种恶意脚本检测方法、系统、装置及计算机可读存储介质。

背景技术

目前安全事件越发普遍，新的攻击方式也层出不穷，因此一个有效的安全检测手段是信息领域的一个基础的需求。现有的安全检测手段通常是在本地安装病毒查杀的软件，对本地已存的恶意程序、文件进行检测。

如钓鱼邮件、恶意链接等攻击手段，是在用户触发了邮件附件或者点击了恶意连接后，就会被传输一些可执行的恶意脚本文件，脚本文件中包括可执行命令，当脚本文件被传输到目标主机后，其中的可执行命令就会开始执行，从而完成目标主机的入侵。因此就导致目标主机的恶意查杀软件还没有来得及查出该文件的问题时，目标主机就已经被入侵的问题。

因此就需要对恶意脚本文件到达目标主机之前就做出有效的检测。目前的网关黑白名单技术虽然可以对可疑流量进行拦截，但是拦截的机制都是基于IP地址或端口号的，如果一个正常合法的IP地址向目标主机传输了恶意脚本文件，将无法实现有效的检测。

因此，如何在恶意脚本文件到达目标主机之前就做出有效的检测，是本领域技术人员需要解决的问题。

发明内容

本发明的目的在于提供一种恶意脚本检测方法、系统、装置及计算机可读存储介质，以解决现有技术中无法在在恶意脚本文件到达目标主机之前就做出有效检测的问题。

为实现上述目的，本发明实施例提供了如下技术方案：

一种恶意脚本检测方法，包括：

提取将要传输至目标主机的HTTP流量，并在所述HTTP流量中确定待检测脚本；

计算所述待检测脚本的内容与预设恶意特征之间的相似度；其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征；

利用所述相似度确定所述待检测脚本的检测结果。

可选地，所述计算所述待检测脚本内容与预设恶意特征的相似度，包括：

利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度，并对每种相似度计算方法的计算结果进行平均处理，得到最终相似度。

可选地，所述利用所述相似度确定所述待检测脚本的检测结果，包括：

确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。

可选地，所述利用所述相似度确定所述待检测脚本的检测结果，包括：

确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。

可选地，所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后，还包括：

确定用于请求获取所述可疑脚本的URL；

判断所述URL是否为危险URL；

若是，则确定所述可疑脚本为恶意脚本。