[发明专利]面向网页JavaScript恶意代码的智能检测方法

权利要求书

1.一种面向网页JavaScript恶意代码的智能检测方法，其特征在于，该方法包括优选样本、安全检测、更新优选三个过程，具体为：

优选样本：利用N-gram语言统计方法和机器学习算法KNN，通过对JavaScript脚本训练库中的JavaScript脚本进行机器学习，生成用于安全检测的JavaScript检测样本库；

安全检测：针对待检测的网页URL提取JavaScript脚本，基于优选样本过程建立的JavaScript检测样本库，通过KNN分类算法检测指定的网页是否包含JavaScript恶意代码；

更新优选：统计安全检测的正确率，若检测精度保持在设定的范围内，则持续启用经优选的JavaScript检测样本库执行安全检测；若检测精度下降超出预定范围，则将所有已完成检测并导致检测精度下降的JavaScript脚本置入JavaScript脚本训练库中，重新进行优选样本并得到更新的JavaScript检测样本库；该过程中，保持优选的检测样本库数量不变以保障安全检测的效率。

2.根据权利要求1所述的方法，其特征在于，所述JavaScript检测样本库包括恶意代码N-gram样本和良性代码N-gram样本。

3.根据权利要求1所述的方法，其特征在于，在所述优选样本的过程中，通过对训练脚本的分析确定如下参数：P，即JavaScript安全检测的正确率；N，即N-gram大小参数；N^f，即N-gram频率统计阈值，代表在JavaScript脚本训练库中出现频率最高的前N^f个N-gram；N°，即代表优选的JavaScript检测样本库中的恶意样本和良性样本的数量；

优选样本的具体包括如下步骤：

(1)采集当前具有代表性的JavaScript恶意脚本和良性脚本，形成达到万级数量的JavaScript脚本训练库；

(2)采用Google的开源JavaScript解析引擎V8，编译JavaScript脚本得到V8机器码，并进一步提取机器码的操作序列；

(3)以操作函数为基本单位，计算JavaScript脚本训练库中每一个恶意脚本和良性脚本的机器码操作序列的N-gram，并保存出现频率最高的前N^f个N-gram；

记恶意和良性脚本数量分别为n^m和n^b，脚本总量为n＝n^m+n^b；将计算得到的每个脚本的N^f个N-gram集合记为(i＝1，2，...，n^m)和(i＝1，2，...，n^b)，每个N-gram出现的频率值分别记为(i＝1，2，...，n^m)和(i＝1，2，...，n^b)，这里对不在集合或中的N-gram s′，即规定i＝1，2，...，n^m；

(4)选择KNN分类器(取K＝1)，分类算法描述如下：计算待分类JavaScript脚本机器码操作序列的前N^f个N-gram，记为集合S^f，每个N-gram出现的频率值记为f(s)，s∈S^f；求出满足i＝1，2，...，n^m的i，并记为i＝j^m，求出满足i＝1，2，...，n^b的j，记为i＝j^b；若d^m＜d^b则判定该脚本为恶意代码，JavaScript脚本训练库中第j^m个恶意脚本即被选作一次作为恶意的检测样本；否则为良性代码，第j^b个良性脚本即被选作一次作为良性的检测样本；

(5)针对总量为n的JavaScript训练脚本库，采取KNN分类的交叉验证试验，具体是将训练脚本分别等分为和份(选择的n^m和n^b都为N°的倍数)，随机各选择一份作为KNN训练数据，剩余部分全部作为测试数据；记录测试结果正确时，每个训练脚本被KNN分类器选作样本的累计次数；最后根据累计次数的高低，分别选择前N°个恶意脚本和良性脚本作为检测样本中的恶意样本和良性样本，并分别存储为N-gram集合，记为(i＝1，2，...，N°)(恶意)和(i＝1，2，...，N°)(良性)，再记上述两个集合中各个N-gram的频率值分别为(i＝1，2，...，N°)和(i＝1，2，...，n^b)。