[发明专利]面向网页JavaScript恶意代码的智能检测方法

说明书

技术领域

本发明涉及一种JavaScript恶意代码智能检测方法。

背景技术

恶意代码是威胁计算机安全的重要形式之一，本质上是一段计算机代码或者程序(一段指令)，这段代码可以按照攻击者的意愿执行一系列包含恶意企图的操作；代码的形式可能是可执行代码性指令、脚本语言、字处理宏语言或者其他类型。典型的恶意代码包括病毒、蠕虫和特洛伊木马。

本发明研究的对象是可嵌在网页中的JavaScript脚本，是一种基于对象和事件驱动的客户端脚本语言。JavaScript使得网页和用户之间实现了一种实时性的、动态的、交互性的关系，使网页可以包含更多活跃的元素和更加精彩的内容，但是也使得黑客们更容易编写和运行恶意代码，例如能从网络中自动加载其他的恶意脚本，能操作页面Document对象，操作用户看见的HTML界面，能获取或向用户请求输入有价值的账号密码等数据，并发送数据请求到世界上任何地方的服务器。同时，黑客还可以使用JavaScript来攻击浏览器的漏洞，这种攻击可能导致浏览器崩溃、内存泄露等等。面对这些安全问题，亟需对JavaScript的安全问题进行深入研究，提高对JavaScript的恶意脚本的检测能力，保障互联网应用的安全。

恶意代码检测技术已经成为信息安全领域的一个重要方向，并且已经取得了非常多的研究成果。恶意代码的检测技术根据采用分析对象的不同主要分静态检测和动态检测两种，静态检测是对代码的文本特征进行分析，动态检测则是对代码执行行为的分析。

静态检测的典型方法是基于签名的检测技术，主要基于模式匹配的思想，为每种已知恶意代码产生一个唯一的签名特征标记来创建恶意代码库。这些签名特征是由行业专家分析病毒样本，进行手工提取，一个签名标志一个特定恶意代码的独特性质。基于签名方法的实现步骤如下：

(1)采集已知恶意代码样本；

(2)在恶意代码样本中，抽取恶意代码签名特征；

(3)将签名纳入恶意代码数据库；

(4)检测文件。若待检文件中含有恶意代码库中的签名，即判断此文件是恶意代码或者已被恶意代码感染。

基于签名方法是目前最方便、应用最广的检测方法，很多商业的杀毒产品都是采用这种技术。其优点是检测速度快，病毒库中已有的恶意代码，能够准确检测出来，误报率较低。缺点是对新出现的病毒无能为力，必须不断更新版本，向病毒库中添加新病毒的特征。

动态检测的典型方法是基于行为的检测技术，一般需要动态执行代码或者虚拟执行代码，利用病毒的特有行为特征来监测病毒。通过对病毒多年的研究，发现有一些行为是恶意代码的共同行为，而且非常特殊，正常代码中很少包含这些行为。一些典型的恶意行为特征如下：

(1)抢占INT 13H号中断。引导型病毒会攻击Boot扇区或主引导扇区，并在其中放置病毒所需的代码，系统启动时，Boot扇区或主引导扇区会执行INT 13H功能，病毒代码就会被加载。

(2)修改系统内存总量。病毒为了完成感染与破坏等特定功能，将减少系统内存总量，使系统及其它应用程序不能占据其空间，而使自身常驻在内存中。

(3)对特定文件执行写操作。由于病毒是依附而生，那么在病毒执行时，就要将自身代码附加在被感染文件之中，使得被感染文件有异常的写操作。

(4)监测系统调用序列。系统调用是用户应用程序与操作系统的唯一接口，某些系统调用序列可以体现某种程度的恶意语义。

因此，基于行为的检测方法可以检测出一些新出现的未知病毒，其研究的难点在于提取恶意行为特征，并且系统开销较大。

综上所述，静态检测效率高，但是无法检测新的恶意代码；动态检测技术能检测新的恶意代码，但是效率不高，行为特征提取难度大，可操作性差。有鉴于此，研究人员关注如何高效地自动检测新出现的恶意代码，自动分类器的方法就成为反病毒领域中的一种热点技术。实际上，随着数据挖掘技术的应用推广，将数据挖掘技术应用到恶意代码检测已取得了不错的实验效果。目前，基于数据挖掘和机器学习的恶意代码检测开始得到越来越多地关注，已成为一个新的研究热点。