[发明专利]一种恶意脚本检测方法、装置和存储介质

权利要求书

1.一种恶意脚本检测方法，其特征在于，包括：

获取待检测样本；

利用恶意脚本检测模型对待检测样本进行处理得到所述待检测样本对应的第一检测值，所述恶意脚本检测模型为利用预设机器学习异常检测算法对训练样本集进行学习得到的；

判断所述第一检测值是否大于恶意脚本检测阈值，所述恶意脚本检测阈值为根据利用所述恶意脚本检测模型对测试样本集中包含的测试样本进行处理得到的；

如果所述第一检测值大于所述恶意脚本检测阈值，则确定所述待检测样本是恶意脚本，如果所述第一检测值不大于所述恶意脚本检测阈值，则确定所述待检测样本不是恶意脚本。

2.根据权利要求1所述的方法，其特征在于，所述训练样本集为按照以下流程获得的：

获取初始训练样本集，所述训练样本集包括以下至少一类：从网络上公开采集的脚本文件集、安全研究网站收集的、用户上传的脚本文件集和生产实际中收集的脚本文件集；

利用已有的恶意脚本黑名单库或者病毒查杀引擎对所述初始训练样本集中包含的脚本文件进行检测，确定所述初始训练样本集中的恶意脚本文件；

从所述初始训练样本集中删除确定出的恶意脚本文件，得到训练样本集。

3.根据权利要求2所述的方法，其特征在于，利用预设机器学习异常检测算法按照以下流程对训练样本集进行学习得到所述恶意脚本检测模型：

从所述训练样本集包含的每一训练样本中分别提取样本特征，所述样本特征包括以下至少一项：静态文本特征、字符串特征、抽象语法树节点特征和静态反混淆后获取的代码特征；

针对从每一训练样本中提取的每一样本特征，计算该样本特征对应的特征值；

基于从训练样本中提取的各样本特征所对应的特征值，利用预设机器学习异常检测算法进行学习得到所述恶意脚本检测模型。

4.根据权利要求1所述的方法，其特征在于，所述测试样本集中包含有已知恶意脚本文件，其中，已知恶意脚本文件在所述测试样本集中所占比例不超过预设比例阈值。

5.根据权利要求4所述的方法，其特征在于，所述恶意脚本检测阈值为按照以下流程确定出的：

利用所述恶意脚本检测模型分别对各已知恶意脚本文件进行检测，得到各已知恶意脚本文件对应的第二检测值；

确定所述第二检测值中的最小值为所述恶意脚本检测阈值。

6.根据权利要求1～5任一权利要求所述的方法，其特征在于，所述预设机器学习异常检测算法包括孤立森林异常检测算法。

7.一种恶意脚本检测装置，其特征在于，包括：

获取单元，用于获取待检测样本；

检测单元，用于利用恶意脚本检测模型对待检测样本进行处理得到所述待检测样本对应的第一检测值，所述恶意脚本检测模型为利用预设机器学习异常检测算法对训练样本集进行学习得到的；

判断单元，用于判断所述第一检测值是否大于恶意脚本检测阈值，所述恶意脚本检测阈值为根据利用所述恶意脚本检测模型对测试样本集中包含的测试样本进行处理得到的；

第一确定单元，用于如果所述第一检测值大于所述恶意脚本检测阈值，则确定所述待检测样本是恶意脚本，如果所述第一检测值不大于所述恶意脚本检测阈值，则确定所述待检测样本不是恶意脚本。

8.根据权利要求7所述的装置，其特征在于，还包括：

预处理单元，用于获取初始训练样本集，所述训练样本集包括以下至少一类：从网络上公开采集的脚本文件集、安全研究网站收集的、用户上传的脚本文件集和生产实际中收集的脚本文件集；利用已有的恶意脚本黑名单库或者病毒查杀引擎对所述初始训练样本集中包含的脚本文件进行检测，确定所述初始训练样本集中的恶意脚本文件；从所述初始训练样本集中删除确定出的恶意脚本文件，得到训练样本集。

9.一种计算装置，其特征在于，所述计算装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的方法的步骤。

10.一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法的步骤。