本申请公开了一种恶意脚本文件的检测方法及装置。其中,该方法包括:在执行获取到的待检测脚本文件的过程中,监测运行待检测脚本文件时所调用的待检测函数;判断待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,填充参数数据集包括用于页面交互的填充参数,填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,预设函数用于输入填充参数,预设解释引擎用于检测是否需要输入填充参数;若输入参数包含在填充参数数据集中,确定待检测脚本文件为恶意脚本文件。本申请解决了由于基于静态特征提取的恶意脚本文件检测方法容易漏报潜在的恶意脚本文件造成的网页服务器安全性较低的技术问题。
【技术实现步骤摘要】
恶意脚本文件的检测方法及装置
本申请涉及信息安全领域,具体而言,涉及一种恶意脚本文件的检测方法及装置。
技术介绍
网页服务器被黑客入侵后,通常会植入一段恶意脚本文件,作为黑客使用的后门。常用的建站语言PHP(HypertextPreprocessor,超文本预处理器)、ASP(ActiveServerPage,动态服务器页面)、JSP(JavaServerPages,Java服务页面)都会有相应的恶意脚本文件,其中,以PHP变化做多。PHP的语法灵活,对相同的实现可以用不同的脚本变形,导致传统的PHP恶意脚本文件检测的难度增加。目前的恶意脚本文件检测,大多使用的静态特征提取方式,然而,其对潜在的恶意脚本文件(例如变形的PHP恶意脚本文件)的检测效果不佳,从而容易造成漏报,这将导致网页服务器存在很大的安全隐患。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种恶意脚本文件的检测方法及装置,以至少解决由于基于静态特征提取的恶意脚本文件检测方法容易漏报潜在的恶意脚本文件造成的网页服务器安全性较低的技术问题。根据本申请实施例的一个方面,提供了一种恶意脚本文件的检测方法,包括:在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。根据本申请实施例的另一方面,还提供了一种恶意脚本文件的检测装置,包括:监测单元,用于在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;判断单元,用于判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;确定单元,用于若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。在本申请实施例中,采用在执行获取到的待检测脚本文件的过程中,监测运行待检测脚本文件时所调用的待检测函数;判断待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,填充参数数据集包括用于页面交互的填充参数,填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,预设函数用于输入填充参数,预设解释引擎用于检测是否需要输入填充参数;若输入参数包含在填充参数数据集中,确定待检测脚本文件为恶意脚本文件的方式,通过动态执行待检测脚本文件,监测待检测脚本文件的待检测函数的输入参数,与基于预设函数及预设解释引擎的填充参数数据集相匹配,并不基于待检测脚本文件的特征值,而是从待检测脚本文件在动态执行过程中的输入参数入手,达到了确定待检测脚本文件是否为恶意脚本文件的目的,从而实现了增强网页服务器安全性的技术效果,进而解决了由于基于静态特征提取的恶意脚本文件检测方法容易漏报潜在的恶意脚本文件造成的网页服务器安全性较低的技术问题。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例的一种运行恶意脚本文件的检测方法的计算机终端的硬件结构框图;图2是根据本申请实施例的一种可选的恶意脚本文件的检测方法的流程示意图;图3是根据本申请实施例的另一种可选的恶意脚本文件的检测方法的流程示意图;图4是根据本申请实施例的一种可选的恶意脚本文件的检测装置的结构示意图;图5是根据本申请实施例的另一种可选的恶意脚本文件的检测装置的结构示意图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本申请实施例,还提供了一种恶意脚本文件的检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本申请实施例的一种恶意脚本文件的检测方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的恶意脚本文件的检测方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。在上述运行环境下,本申请提供了如图2所本文档来自技高网...
【技术保护点】
一种恶意脚本文件的检测方法,其特征在于,包括:在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。
【技术特征摘要】
1.一种恶意脚本文件的检测方法,其特征在于,包括:在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。2.根据权利要求1所述的方法,其特征在于,在所述监测运行所述待检测脚本文件时所调用的待检测函数之前,所述方法还包括:挂钩所述预设函数及所述预设解释引擎,所述预设函数包括恶意脚本疑似函数以及用于变形所述输入参数的变形函数;通过所述预设解释引擎,检测是否需要输入用于页面交互的所述填充参数;若需要输入所述填充参数,调用所述恶意脚本疑似函数或所述变形函数输入所述填充参数;生成包含所述填充参数的所述填充参数数据集。3.根据权利要求2所述的方法,其特征在于,所述挂钩所述预设函数及所述预设解释引擎包括:通过超文本预处理器PHP扩展法挂钩所述预设函数及所述预设解释引擎,其中,所述PHP扩展法用于修改所述待检测脚本文件的执行逻辑。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述恶意脚本疑似函数包括以下一种或几种:用于将字符串作为PHP语法执行的函数、用于判断条件是否正确的函数、用于调用执行系统命令的函数以及用于进程执行的函数。5.根据权利要求1至3中任一项所述的方法,其特征在于,所述变形函数包括以下一种或几种:用于编码解密的函数、用于解压缩的函数以及用于字符串旋转解密的函数。6.一种恶意脚本文件的检测装...
【专利技术属性】
技术研发人员:邵睿,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。