一种基于结构化异常的启发式脚本检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,特别涉及一种基于结构化异常的启发式脚本检测方法及系统。
【背景技术】
[0002]传统的脚本检测方法通常基于特征码检测,即将恶意代码部分作为特征,进行匹配检测。而恶意代码作者通常采用结构化异常的编码方式来逃避反病毒工作者的检测,传统脚本检测方法对于一些变形的恶意代码、结构化异常的脚本代码,如代码布局异常,无效元素等,通常具有很弱的检测能力。
【发明内容】
[0003]本发明针对上述问题形成一套基于结构化异常的脚本启发式检测方法。通过本发明方法,能够解决现有技术中无法检测结构化异常脚本的问题,针对脚本文件代码结构,识别其异常布局和无效元素,判定脚本是否为恶意。
[0004]一种基于结构化异常的启发式脚本检测方法,包括:
读取待检测脚本代码;
对脚本代码进行结构化扫描,确定脚本代码的代码结构;可以根据不同的规则采用逐行扫描、元素扫描等;
根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。
[0005]所述的方法中,所述结构化异常规则包括但不限于:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。
[0006]判定规则举例如下:
代码行开始连续出现大量空白符,超过可观察范围。通常恶意代码作者采用这样的方法来逃避反病毒工作者的检测。
[0007]代码行连续超过阈值的空白行。
[0008]无效元素,例如frame框架宽高均为O ;通过URL引用其它的恶意脚本。
[0009]本发明通过对脚本文件进行结构化扫描,基于结构化判定规则,对脚本进行启发式检测。
[0010]一种基于结构化异常的启发式脚本检测系统,包括:
读取模块,用于读取待检测脚本代码;
扫描模块,用于对脚本代码进行结构化扫描,确定脚本代码的代码结构;
匹配模块,用于根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。
[0011]所述的系统中,所述结构化异常规则包括:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。
[0012]本发明的优势在于,能够形成一套基于结构化异常的脚本启发式检测方法,能够对脚本文件代码的异常结构进行有效检测。
[0013]本发明提供了一种基于结构化异常的启发式脚本检测方法及系统,所述方法包括:读取待检测脚本代码;对脚本代码进行结构化扫描,确定脚本代码的代码结构;根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。本发明还提供了相应的检测系统。通过本发明提供的方法及系统,可以快速有效的发现那些结构化异常的脚本,并对用户进行告警。本方案可以有效弥补传统检测方法的不足,对恶意变形的脚本或者架构化异常的代码进行检测。
【附图说明】
[0014]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1为本发明一种基于结构化异常的启发式脚本检测方法流程图;
图2为本发明一种基于结构化异常的启发式脚本检测系统结构图。
【具体实施方式】
[0016]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0017]本发明针对上述问题形成一套基于结构化异常的脚本启发式检测方法。通过本发明方法,能够解决现有技术中无法检测结构化异常脚本的问题,针对脚本文件代码结构,识别其异常布局和无效元素,判定脚本是否为恶意。
[0018]一种基于结构化异常的启发式脚本检测方法,如图1所示,包括:
5101:读取待检测脚本代码;
5102:对脚本代码进行结构化扫描,确定脚本代码的代码结构;可以根据不同的规则采用逐行扫描、元素扫描等;
5103:根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。
[0019]所述的方法中,所述结构化异常规则包括但不限于:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。
[0020]判定规则举例如下:
代码行开始连续出现大量空白符,超过可观察范围。通常恶意代码作者采用这样的方法来逃避反病毒工作者的检测。
[0021]代码行连续超过阈值的空白行。
[0022]无效元素,例如frame框架宽高均为O ;通过URL引用其它的恶意脚本。
[0023]本发明通过对脚本文件进行结构化扫描,基于结构化判定规则,对脚本进行启发式检测。
[0024]一种基于结构化异常的启发式脚本检测系统,如图2所示,包括:
读取模块201,用于读取待检测脚本代码;
扫描模块202,用于对脚本代码进行结构化扫描,确定脚本代码的代码结构;
匹配模块203,用于根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。
[0025]所述的系统中,所述结构化异常规则包括:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。
[0026]本发明的优势在于,能够形成一套基于结构化异常的脚本启发式检测方法,能够对脚本文件代码的异常结构进行有效检测。
[0027]本发明提供了一种基于结构化异常的启发式脚本检测方法及系统,所述方法包括:读取待检测脚本代码;对脚本代码进行结构化扫描,确定脚本代码的代码结构;根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。本发明还提供了相应的检测系统。通过本发明提供的方法及系统,可以快速有效的发现那些结构化异常的脚本,并对用户进行告警。本方案可以有效弥补传统检测方法的不足,对恶意变形的脚本或者架构化异常的代码进行检测。
[0028]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于结构化异常的启发式脚本检测方法,其特征在于: 读取待检测脚本代码; 对脚本代码进行结构化扫描,确定脚本代码的代码结构; 根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。2.如权利要求1所述的方法,其特征在于,所述结构化异常规则包括:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。3.一种基于结构化异常的启发式脚本检测系统,其特征在于: 读取模块,用于读取待检测脚本代码; 扫描模块,用于对脚本代码进行结构化扫描,确定脚本代码的代码结构; 匹配模块,用于根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。4.如权利要求3所述的系统,其特征在于,所述结构化异常规则包括:代码结构中存在超过阈值数量的连续空白符,或代码结构中存在超过阈值数量的连续空白行,或无效元素。
【专利摘要】本发明提供了一种基于结构化异常的启发式脚本检测方法及系统,所述方法包括:读取待检测脚本代码;对脚本代码进行结构化扫描,确定脚本代码的代码结构;根据结构化异常规则,对脚本代码的代码结构进行匹配,如果匹配成功,则确认所述待检测脚本代码结构异常,并进行告警;否则确认所述待检测脚本代码结构正常。本发明还提供了相应的检测系统。通过本发明提供的方法及系统,可以快速有效的发现那些结构化异常的脚本,并对用户进行告警。本方案可以有效弥补传统检测方法的不足,对恶意变形的脚本或者架构化异常的代码进行检测。
【IPC分类】G06F21/56
【公开号】CN104978525
【申请号】CN201410657009
【发明人】童志明, 沈长伟, 张栗伟
【申请人】哈尔滨安天科技股份有限公司
【公开日】2015年10月14日
【申请日】2014年11月18日