【技术实现步骤摘要】
一种恶意脚本检测方法、设备及存储介质
本专利技术涉及网络安全
,尤其涉及一种恶意脚本检测方法、设备及存储介质。
技术介绍
随着当前反病毒技术的日趋成熟,传统的PE病毒越来越难以渗透进宿主网络,常常被AF、WAF等网关安全设备阻挡。因此越来越多的网络攻击开始利用恶意脚本进行免杀绕过(bypass),因为大部分的安全产品对纯文本类的文件没有检测能力,往往采取放行的策略,使其达到入侵用户主机的效果。现有技术主要采取以下方式防范此类攻击方式:1.在网络出口处部署防火墙、病毒网关、沙箱等设备监控外来流量并进行查杀。2.终端机器上安装杀毒软件进行全盘监控查杀。但这两种方式存在如下缺点导致无法对恶意脚本攻击行为进行有效的识别:1.脚本是纯文本文件,多数防火墙和病毒网关无检测能力而采取放行策略,具备天然绕过的能力。2.多数恶意脚本存在伪造后缀的行为,导致文件格式识别困难,沙箱等设备也无法进行有效识别。3.多数Downloader恶意脚本会去拉取互联网病毒在内存里执行,病毒...
【技术保护点】
1.一种恶意脚本检测方法,其特征在于,所述方法包括:/n获取待检测文件;/n对所述待检测文件进行文本识别,得到待检测文本;/n检测所述待检测文本是否存在至少一个特定行为特征;若存在,则对所述至少一个特定行为特征进行关联规则挖掘处理,确定出满足预设条件的关联行为特征组合,所述预设条件为所述行为特征组合的最小支持度和最小可信度;/n获取所述关联行为特征组合对应的评分结果;/n基于所述评分结果,判断所述待检测文件是否为恶意脚本。/n
【技术特征摘要】
1.一种恶意脚本检测方法,其特征在于,所述方法包括:
获取待检测文件;
对所述待检测文件进行文本识别,得到待检测文本;
检测所述待检测文本是否存在至少一个特定行为特征;若存在,则对所述至少一个特定行为特征进行关联规则挖掘处理,确定出满足预设条件的关联行为特征组合,所述预设条件为所述行为特征组合的最小支持度和最小可信度;
获取所述关联行为特征组合对应的评分结果;
基于所述评分结果,判断所述待检测文件是否为恶意脚本。
2.根据权利要求1所述的方法,其特征在于,所述对所述待检测文件进行文本识别,得到待检测文本,包括:
识别所述待检测文件的后缀名是否为脚本类文档的后缀名;
若是,则将所述待检测文件以脚本类文档的后缀名对应的文件格式打开,得到所述待检测文本;
若否,则将所述待检测文件以纯文本文件格式打开,得到所述待检测文本。
3.根据权利要求1所述的方法,其特征在于,所述特定行为特征包括:
变量替换、字串长度异常、发送邮件、系统调用、创建对象、发起网络请求、读写文件或编码混淆中的至少一个。
4.根据权利要求1所述的方法,其特征在于,所述对所述至少一个特定行为特征进行关联规则挖掘处理,确定出至少一个满足预设条件的关联行为特征组合,包括:
根据所述至少一个特定行为特征,得到至少一个期望行为特征组合;
获取所述至少一个期望行为特征组合的支持度与可信度,根据所述支持度与可信度,从所述至少一个期望行为特征组合中确定出满足所述预设条件的关联行为特征组合。
5.根据权利要求4所述的方法,其特征在于,所述根据所述至少一个特定行为特征,得到至少一个期望行为特征组合,包括:
获取所述待检测文本的至少一个特定行为特征中每一特定行为特征出现的频数;
根据所述每一特定行为特...
【专利技术属性】
技术研发人员:杨玉华,蒲大峰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。