[发明专利]一种恶意脚本代码检测方法及装置

说明书

本申请公开了一种恶意脚本代码检测方法及装置，适用于计算机领域中，能够检测出经过混淆处理的恶意脚本文件中的恶意代码。该方法包括：获取待检测的脚本文件，脚本文件中包含第一代码段；根据至少一个代码转换规则，对第一代码段中的代码进行转换，基于转换结果得到第一检测样本；将第一检测样本与恶意脚本特征库中的多个恶意特征进行匹配，确定匹配中的第一恶意特征，第一恶意特征同时存在于恶意脚本特征库和第一检测样本中，第一恶意特征是根据至少一个代码转换规则对第一已知恶意代码转换得到的；根据匹配中的第一恶意特征，确定待检测的脚本文件中存在恶意代码。

技术领域

本申请涉及计算机技术领域，更具体的说，涉及恶意脚本代码检测方法及装置。

背景技术

目前，随着计算机技术的发展，脚本文件被广泛应用在各类场景中，并且恶意脚本文件也随之迅速增加。如何精准的识别出各类场景中的恶意脚本文件，成为整个行业研究的主要方向。

例如，行业内主要采用静态检测方法来识别出网页中的恶意脚本文件。其中，静态检测方法为：在计算机设备获取到需要识别的脚本文件以后，计算机设备会判断该脚本文件中的脚本代码是否与恶意脚本库中的恶意特征相匹配，如果该脚本文件中的脚本代码与恶意脚本库中的恶意特征相匹配，说明该脚本文件为恶意脚本文件。

为了避免恶意脚本文件被上述静态检测方法识别出来，黑客通常会对恶意脚本文件中的代码进行混淆处理，使得被混淆处理后得到的恶意脚本文件中不存在与恶意脚本库中的恶意特征相匹配的脚本代码，从而达到逃避检测、更好的隐藏恶意脚本的目的。

因此，如何识别出被混淆处理的恶意代码，成为目前亟需解决的问题。

发明内容

本申请提供一种恶意脚本代码检测方法及装置，以有效的检测出经过混淆处理的恶意脚本文件中的恶意代码。

第一方面，本申请提供了一种恶意脚本代码检测方法，该方法包括：获取待检测的脚本文件，脚本文件中包含第一代码段；根据至少一个代码转换规则，对第一代码段中的代码进行转换，基于转换结果得到第一检测样本，至少一个代码转换规则包括第一转换规则，第一转换规则包括将第一变量名转换为第一值、且将第二变量名转换为第一值，第一变量名与第二变量名不同；将第一检测样本与恶意脚本特征库中的多个恶意特征进行匹配，确定匹配中的第一恶意特征，第一恶意特征同时存在于恶意脚本特征库和第一检测样本中，第一恶意特征是根据至少一个代码转换规则对第一已知恶意代码转换得到的；根据匹配中的第一恶意特征，确定待检测的脚本文件中存在恶意代码。

在第一方面中，本申请实施例提供的至少一个代码转换规则能够将脚本文件中的第一代码段转换成第一检测样本，第一检测样本体现了实现第一代码段的对应程序功能的实质信息。进一步将第一检测样本与恶意脚本特征库中的多个恶意特征进行匹配，恶意特征体现了实现恶意代码对应程序功能的实质信息。本申请实施例中的实质信息包括程序结构和关键数据，程序结构包括变量运算以及所调用的函数的先后顺序、以及变量、运算与函数之间相互关系等等，关键数据包括对变量的赋值等等。无论对代码进行怎样的混淆和变形，混淆后的代码要想实现混淆前的代码的程序功能，混淆后的代码需要与混淆前的代码具有相同的实质信息。如果第一检测样本与恶意脚本特征库中的第一恶意特征匹配，说明第一代码段的程序结构与第一已知恶意代码的实质信息是相同的。在第一代码段的程序结构与第一已知恶意代码的实质信息相同的情况下，如果第一已知恶意代码的程序功能会使计算机设备感染病毒或木马，说明第一代码段的程序功能也会使计算机设备感染病毒或木马，从而能够确定脚本文件中的第一代码段为恶意代码。本申请实施例通过转换规则，能够从脚本文件的代码中去除对于实现程序功能没有实质影响的信息，而保留对于实现程序功能具有实质影响的信息，从而能够检测出经过混淆处理的恶意脚本文件中的恶意代码。

在第一方面的一种可能的实现方式中，至少一个代码转换规则还包括第二转换规则。第二转换规则包括将第一操作符转换为第二值，且将第二操作符转换为第三值，第一操作符和第二操作符均用于对常量或变量执行运算，第一操作符与第二操作符不同。