The invention discloses a script detection method and device. The method includes: extracting all variable names in the target script; calculating the probabilistic value of variable names corresponding to each variable name; combining the continuous characters in the variable names, and calculating the combination obtained by matching the basic probability table; and further obtaining the probabilistic value of variable names according to the probabilities of variable names. Values classify all variable names; the detection results of the target script are obtained from the classification results; the invention can efficiently and accurately detect confused and deformed samples, and enhance the spectral killing of virus samples.
【技术实现步骤摘要】
一种脚本检测方法及装置
本专利技术涉及网络安全
,尤其涉及一种脚本检测方法及装置。
技术介绍
脚本(Script)是批处理文件的延伸,是一种纯文本保存的程序,一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合,在其中可以实现一定的逻辑分支等。近年来,恶意脚本呈爆炸式趋势增长,其中大量脚本使用了种类繁多的混淆手段,以避免反病毒引擎的查杀,这增加了分析人员的时间成本和反病毒引擎的检测难度。混淆脚本的检测能力属于对抗恶意脚本的一项关键能力;因此需要提供一种能够有效进行混淆脚本检测的技术方案以实现病毒引擎的通杀性。
技术实现思路
本专利技术提供了一种脚本检测方法及装置,具体地:一方面提供了一种脚本检测方法,所述方法包括:提取目标脚本中的全部变量名;计算每个变量名对应的变量名概率值;所述变量名概率值是通过对每个变量名中的连续字符进行组合,将得到的组合与基础概率表进行匹配而得到的;根据变量名概率值对全部变量名进行分类;根据分类结果得到所述目标脚本的检测结果。另一方面提供了一种脚本检测装置,所述装置包括:变量名提取模块,用于提取目标脚本中的全部变量名;变量名概率值计算模块,用于计算每个变量名对应的变量名概率值;所述变量名概率值是通过对每个变量名中的连续字符进行组合,将得到的组合与基础概率表进行匹配而得到的;变量名分类模块,用于根据变量名概率值对全部变量名进行分类;检测结果得到模块,用于根据分类结果得到所述目标脚本的检测结果。另一方面提供了一种设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条 ...
【技术保护点】
1.一种脚本检测方法,其特征在于,所述方法包括:提取目标脚本中的全部变量名;计算每个变量名对应的变量名概率值;所述变量名概率值是通过对每个变量名中的连续字符进行组合,将得到的组合与基础概率表进行匹配而得到的;根据变量名概率值对全部变量名进行分类;根据分类结果得到所述目标脚本的检测结果。
【技术特征摘要】
1.一种脚本检测方法,其特征在于,所述方法包括:提取目标脚本中的全部变量名;计算每个变量名对应的变量名概率值;所述变量名概率值是通过对每个变量名中的连续字符进行组合,将得到的组合与基础概率表进行匹配而得到的;根据变量名概率值对全部变量名进行分类;根据分类结果得到所述目标脚本的检测结果。2.根据权利要求1所述的脚本检测方法,其特征在于,所述计算每个变量名对应的变量名概率值,之前包括:得到基础概率表;所述得到基础概率表的步骤,包括:获取基础语料集合;所述基础语料集合包括英文字母、数字、下划线中的至少一种;对所述基础语料集合中的连续字符进行组合,并计算每个组合在所述基础语料集合中的概率,得到所述基础语料集合对应的基础概率表。3.根据权利要求1所述的脚本检测方法,其特征在于,所述根据变量名概率值对全部变量名进行分类,包括:将变量名概率值与基准阈值进行比较;在变量名的概率值低于所述基准阈值时,所述变量名为混淆变量名;在变量名的概率值高于所述基准阈值时,所述变量名为非混淆变量名。4.根据权利要求3所述的脚本检测方法,其特征在于,所述根据分类结果得到所述目标脚本的检测结果,包括:获取所述混淆变量名的数量;得到所述混淆变量名的数量与所述全部变量名的数量的比例关系;根据所述比例关系确定出所述目标脚本的检测结果。5.根据权利要求3所述的脚本检测方法,其特征在于,在所述根据变量名概率值对全部变量名进行分类,之前包括:获取基准阈值;所述获取基准阈值的步骤包括:构建第一语料集合和第二语料集合;所述第一语料集合中的元素为非混淆字符串,所述第二语料集合中的元素为混淆字符串;对非混淆字符串的连续字符进行组合,并计算每个组合在所述非混淆字符串中的概率,得到所述非混淆字符串对应的概率值;对混淆字符串的连续字符进行组合,并计算每个组合在所述混淆字符串中的概率,得到所述混淆字符串对应的概率值;根据所述非混淆字符...
【专利技术属性】
技术研发人员:郭晓龙,姜澎,于涛,毕磊,苏蒙,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。