[发明专利]恶意代码包的检测方法、装置、计算机设备和存储介质

说明书

本申请涉及一种恶意代码包的检测方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：根据待检测代码包的属性信息以及开发者的特征信息；计算待检测代码包的包元素维度的第一分数、待检测代码包在开发者信誉维度的第二分数、待检测代码包在代码静态检测维度的第三分数、待检测代码包在代码动态检测维度的第四分数，继而加权计算，得到待检测代码包的目标恶意度评分；如果目标恶意度评分大于或等于预设恶意阈值，则确定待检测代码包为恶意代码包。通过采用上述多个维度的评价分数进行加权计算后得到目标恶意度评分去判断待检测代码包的恶意程度，可以全面地检测代码包中的风险信息，保证代码包恶意检测的准确度。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种恶意代码包的检测方法、装置、计算机设备和存储介质。

背景技术

随着互联网领域的发展，出现了存储有多个代码包的代码仓库，如，PyPi(PythonPackageIndex)仓库，该仓库是Python的Packag索引(官方索引)，也是python程序员常使用的寻找资源包的仓库。很多开源镜像站与该PyPi官方仓库同步。因此，该种仓库的特点是所有人可以在PyPi中下载别人上传的代码包，所有人也可以在PyPi官方仓库中上传自己的代码包供其他使用者进行下载。目前PyPi已经包含大量projects(项目)、文件以及开发者。类似的，还出现了npm(Node Package Manager)仓库，通过npm仓库，用户可以从npm服务器下载别人共享的第三方包本地，用户也可以将自己的包上传到npm供别人使用。

但是，由于任何人都可以在PyPi仓库和npm仓库上传代码包，同样的，恶意攻击者也可以上传恶意包，则代码包仓库存在安全风险。当使用者下载恶意包并使用后，该恶意包就会在使用者(受害者)的电脑中运行其中的恶意代码，以实现攻击者的恶意目的。因此，需要对公开的代码包仓库中的代码包进行恶意检测。但是，现有的恶意代码包的检测方法一般是依赖于既定检测规则的静态检测，在检测规则不准确时，对代码包的检测也不准确，导致出现漏检或误检。

发明内容

基于此，有必要针对上述技术问题，提供一种能够准确检测恶意代码包的恶意代码包的检测方法、装置、计算机设备和存储介质。

第一方面，本申请提供了一种恶意代码包的检测方法。所述方法包括：

获取待检测代码包的属性信息以及开发者的特征信息；

根据所述待检测代码包的属性信息，计算所述待检测代码包的包元素维度的第一分数；

通过预设开发者信誉确定算法，根据所述待检测代码包的开发者的特征信息，计算所述待检测代码包在开发者信誉维度的第二分数；

根据预设恶意样本检测规则以及预设恶意操作权重集，计算所述待检测代码包在代码静态检测维度的第三分数；

根据所述待检测代码包对应的执行结果，计算所述待检测代码包在代码动态检测维度的第四分数；

通过预设加权算法，根据所述第一分数、所述第二分数、所述第三分数以及所述第四分数，计算所述待检测代码包的目标恶意度评分；

如果所述目标恶意度评分大于或等于预设恶意阈值，则确定所述待检测代码包为恶意代码包。

在其中一个实施例中，所述属性信息包括包名称以及开发者标识信息；

所述根据所述待检测代码包的属性信息，计算所述待检测代码包的包元素维度的第一分数，包括：

通过预设编辑距离计算算法，计算所述待检测代码包的包名称与满足预设下载量条件的正常代码包的包名称之间的编辑距离；

根据所述编辑距离确定包名相似度分数；

根据所述开发者标识信息确定开发者恶意度分数；