本发明专利技术公开了一种恶意脚本检测方法,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外,通过计算待检测脚本的内容与预设恶意特征之间的相似度,可以确定待检测脚本本身的检测结果,从而可以有效避免使用正常源地址发送恶意脚本的情况,使检测结果更加准确。本申请还提供了一种恶意脚本检测系统、装置及计算机可读存储介质,同样可以实现上述技术效果。
A Malicious Script Detection Method and Related Devices
【技术实现步骤摘要】
一种恶意脚本检测方法及相关装置
本专利技术涉及信息安全领域,更具体地说,涉及一种恶意脚本检测方法、系统、装置及计算机可读存储介质。
技术介绍
目前安全事件越发普遍,新的攻击方式也层出不穷,因此一个有效的安全检测手段是信息领域的一个基础的需求。现有的安全检测手段通常是在本地安装病毒查杀的软件,对本地已存的恶意程序、文件进行检测。如钓鱼邮件、恶意链接等攻击手段,是在用户触发了邮件附件或者点击了恶意连接后,就会被传输一些可执行的恶意脚本文件,脚本文件中包括可执行命令,当脚本文件被传输到目标主机后,其中的可执行命令就会开始执行,从而完成目标主机的入侵。因此就导致目标主机的恶意查杀软件还没有来得及查出该文件的问题时,目标主机就已经被入侵的问题。因此就需要对恶意脚本文件到达目标主机之前就做出有效的检测。目前的网关黑白名单技术虽然可以对可疑流量进行拦截,但是拦截的机制都是基于IP地址或端口号的,如果一个正常合法的IP地址向目标主机传输了恶意脚本文件,将无法实现有效的检测。因此,如何在恶意脚本文件到达目标主机之前就做出有效的检测,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种恶意脚本检测方法、系统、装置及计算机可读存储介质,以解决现有技术中无法在在恶意脚本文件到达目标主机之前就做出有效检测的问题。为实现上述目的,本专利技术实施例提供了如下技术方案:一种恶意脚本检测方法,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。可选地,所述计算所述待检测脚本内容与预设恶意特征的相似度,包括:利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。可选地,所述利用所述相似度确定所述待检测脚本的检测结果,包括:确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。可选地,所述利用所述相似度确定所述待检测脚本的检测结果,包括:确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。可选地,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:确定用于请求获取所述可疑脚本的URL;判断所述URL是否为危险URL;若是,则确定所述可疑脚本为恶意脚本。可选地,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:利用沙箱执行所述可疑脚本;判断所述执行结果是否为恶意结果;若是,则确定所述可疑脚本为恶意脚本。可选地,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。可选地,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。可选地,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。为解决上述技术问题,本申请还提供了一种恶意脚本检测系统,包括:待检测脚本确定模块,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;相似度计算模块,用于计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;检测结果确定模块,用于利用所述相似度确定所述待检测脚本的检测结果。可选地,所述相似度计算模块,具体用于利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。可选地,所述检测结果确定模块,具体用于确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。可选地,所述检测结果确定模块,具体用于确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。可选地,所述系统还包括:URL确定模块,用于确定用于请求获取所述可疑脚本的URL;第一判断模块,用于判断所述URL是否为危险URL;第一恶意脚本确定模块,用于所述URL是否为危险URL时,确定所述可疑脚本为恶意脚本。可选地,所述系统还包括:执行模块,用于利用沙箱执行所述可疑脚本;第二判断模块,用于判断所述执行结果是否为恶意结果;第二恶意脚本确定模块,用于所述执行结果为恶意结果时,确定所述可疑脚本为恶意脚本。可选地,所述待检测脚本确定模块,包括:第一文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;第一待检测脚本确定单元,用于利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。可选地,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。可选地,所述待检测脚本确定模块,包括:第二文件数据获取单元,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;第二待检测脚本确定单元,用于对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。为解决上述技术问题,本申请还提供了一种恶意脚本检测装置,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如任一项所述恶意脚本检测方法的步骤。为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如任一项所述恶意脚本检测方法的步骤。通过以上方案可知,本专利技术提供的一种恶意脚本检测方法,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。由此可见,本申请实施例提供的一种恶意脚本检测方法,在将要传输至目标主机的HTTP流量中确定出待检测脚本,从而可以实现在HTTP流量传输到目标主机之前就对其进行检测。此外,为了能够使检测结果更加准确,本申请不再是检测发送该流量的源地址信息是否有问题,而是对流量本身进行检测,通过计算待检测脚本的内容与预设恶意特征之间的相似度,可以确定待检测脚本本身的检测结果,从而可以有效避免使用正常源地址发送恶意脚本的情况,使检测结果更加准确。本申请还提供了一种恶意脚本检测系统、装置及计算机可读存储介质,同样可以实现上述技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员本文档来自技高网...
【技术保护点】
1.一种恶意脚本检测方法,其特征在于,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。
【技术特征摘要】
1.一种恶意脚本检测方法,其特征在于,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;计算所述待检测脚本的内容与预设恶意特征之间的相似度;其中所述预设恶意特征为对预先搜集的恶意脚本进行特征提取得到的恶意特征;利用所述相似度确定所述待检测脚本的检测结果。2.根据权利要求1所述的方法,其特征在于,所述计算所述待检测脚本内容与预设恶意特征的相似度,包括:利用至少两种不同类型的相似度计算方法计算所述待检测脚本内容与所述预设恶意特征的相似度,并对每种相似度计算方法的计算结果进行平均处理,得到最终相似度。3.根据权利要求1所述的方法,其特征在于,所述利用所述相似度确定所述待检测脚本的检测结果,包括:确定相似度大于或等于第一预设阈值的待检测脚本为恶意脚本。4.根据权利要求3所述的方法,其特征在于,所述利用所述相似度确定所述待检测脚本的检测结果,包括:确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本。5.根据权利要求4所述的方法,其特征在于,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:确定用于请求获取所述可疑脚本的URL;判断所述URL是否为危险URL;若是,则确定所述可疑脚本为恶意脚本。6.根据权利要求4所述的方法,其特征在于,所述确定相似度大于或等于第二预设阈值并小于所述第一预设阈值的待检测脚本为可疑脚本之后,还包括:利用沙箱执行所述可疑脚本;判断所述执行结果是否为恶意结果;若是,则确定所述可疑脚本为恶意脚本。7.根据权利要求1至6任意一项所述的方法,其特征在于,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;利用预设白名单在所有所述文件数据中确定不属于所述预设白名单的待检测脚本。8.根据权利要求7所述的方法,其特征在于,所述预设白名单包括文件格式白名单:其中,所述文件格式白名单包括预设文件格式类型。9.根据权利要求1至6任意一项所述的方法,其特征在于,所述提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本,包括:提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中获取所有文件数据;对每个所述文件数据的文件内容进行检测,将文件内容符合脚本代码特征的文件作为待检测脚本。10.一种恶意脚本检测系统,其特征在于,包括:待检测脚本确定模块,用于提取将要传输至目标主机的HTTP流量,并在所述HTTP流量中确定待检测脚本;相似度计算模块,用于计算所述...
【专利技术属性】
技术研发人员:蒲大峰,李凯,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。