[发明专利]恶意代码检测方法、数据交互方法及相关设备

说明书

本申请涉及一种恶意代码检测方法、数据交互方法及相关设备。所述恶意代码检测方法包括：获取待检测代码；对待检测代码进行向量化，获得待检测代码对应的向量；通过文本分类模型，对向量进行特征提取，基于提取的特征进行分类识别，获得待检测代码对应的类别识别结果；类别识别结果包括识别出来的各代码类别及其对应的类别概率，代码类别包括恶意代码和正常代码；若类别识别结果中恶意代码对应的类别概率大于预设阈值，则确定待检测代码为恶意代码。采用本方法能够提高恶意代码识别率。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种恶意代码检测方法、数据交互方法及相关设备。

背景技术

跨站脚本(Cross Site Scripting,缩写为XSS)攻击是一种普遍的Web应用安全漏洞，这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

XSS漏洞按照攻击利用手法的不同，有本地利用漏洞、反射式漏洞和存储式漏洞三种类型。本地利用漏洞存在于页面中客户端脚本自身。反射式漏洞和本地利用漏洞有些类似，不同的是客户端使用服务端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经超文本标记语言(HTML)实体编码，客户端代码便能够注入到动态页面中。存储式漏洞是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户(包括Web服务器的管理员)都面临信息泄漏的可能。XSS漏洞和SQL(结构化查询语言)注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同，这给XSS漏洞防御带来了困难：不可能以单一特征来概括所有XSS攻击。

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。然而，这种检测方法存在容易被躲避的问题，识别率低，骇客可以通过插入字符或完全编码的方式躲避检测，例如在javascript中加入多个tab键、加入(空格)字符、加入(回车)字符、每个字符间加入回车换行符，或者对javascript:alert('XSS')采用完全编码，上述方法都可以很容易的躲避基于特征匹配的检测。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高识别率的恶意代码检测方法、数据交互方法及相关设备。

一种恶意代码检测方法，所述方法包括：

获取待检测代码；

对所述待检测代码进行向量化，获得所述待检测代码对应的向量；

通过文本分类模型，对所述向量进行特征提取，基于提取的特征进行分类识别，获得所述待检测代码对应的类别识别结果；所述类别识别结果包括识别出来的各代码类别及其对应的类别概率，所述代码类别包括恶意代码和正常代码；

若所述类别识别结果中恶意代码对应的类别概率大于预设阈值，则确定所述待检测代码为恶意代码。

一种恶意代码检测装置，所述装置包括：

获取模块，用于获取待检测代码；

转化模块，用于对所述待检测代码进行向量化，获得所述待检测代码对应的向量；

识别模块，用于通过文本分类模型，对所述向量进行特征提取，基于提取的特征进行分类识别，获得所述待检测代码对应的类别识别结果；所述类别识别结果包括识别出来的各代码类别及其对应的类别概率，所述代码类别包括恶意代码和正常代码；

确定模块，用于若所述类别识别结果中恶意代码对应的类别概率大于预设阈值，则确定所述待检测代码为恶意代码。