[发明专利]基于混合分析和特征融合的恶意JS脚本检测方法

权利要求书

1.一种基于混合分析和特征融合的恶意JS脚本检测方法，其特征在于，包括如下步骤：

(1)获取训练样本集和测试样本集：

(1a)获取V个JavaScript脚本J＝{F^v|1≤v≤V}，并运行每个JavaScript脚本F^v，对运行的F^v的调用应用程序接口API的行为进行动态监控，得到J对应的API调用序列S₁＝{W₁^v|1≤v≤V}，同时对F^v进行静态语法解析，得到抽象语法树AST^v，通过深度优先遍历算法访问AST^v的每个语法单元节点，得到J对应的语法单元序列其中，V＞10000，F^v表示第v个JavaScript脚本，W₁^v、分别表示F^v对应的API调用序列、语法单元序列；

(1b)利用Word2Vec模型分别对每个API调用序列W₁^v、语法单元序列进行转化，得到S₁的API调用序列词向量T₁＝{X₁^v|1≤v≤V}、S₂的语法单元序列词向量

(1c)对每个API调用序列词向量X₁^v和每个语法单元序列词向量通过同一标签进行标记，并将T₁中半数以上的API调用序列词向量和T₂中半数以上的语法单元序列词向量，以及每两个向量共同的标签组成训练样本集Q₁,然后将T₁中剩余的API调用序列词向量和T₂中剩余的语法单元序列词向量，以及每两个向量共同的标签组成测试样本集Q₂；

(2)构建基于特征融合的恶意JavaScript脚本检测网络模型；

构建包括并行排布的卷积神经网络CNN和双向长短期记忆神经网络BiLSTM的恶意JavaScript脚本检测网络模型，CNN和BiLSTM的输出端共同顺次连接有特征融合模块、特征分类器E；其中CNN包括相互重叠的卷积层和最大池化层，卷积层中卷积核的激活函数为relu；BiLSTM包括相互重叠的前向LSTM层和后向LSTM层，LSTM层中LSTM单元的激活函数为sigmoid；E包括全连接层和sigmoid激活函数输出层；

(3)对基于特征融合的恶意JavaScript脚本检测网络模型进行迭代训练；

(3a)初始化迭代次数为i，最大迭代次数为I，I≥200，基于特征融合的恶意JavaScript脚本检测网络模型的权重矩阵为偏移矩阵为并令i＝0；

(3b)将训练样本集Q₁作为基于特征融合的恶意JavaScript脚本检测网络模型的输入进行前向传播，CNN提取每个训练样本中语法单元序列的高维特征；同时BiLSTM提取每个训练样本中API调用序列的高维特征；特征融合模块对CNN提取的每个高维特征与BiLSTM提取的对应的高维特征进行融合，特征分类器E将每个融合高维特征映射为一个向量并输入sigmoid，得到每个训练样本的预测概率

(3c)采用交叉熵损失函数，并通过计算本次迭代基于特征融合的恶意JavaScript脚本检测网络模型的损失值Lⁱ；采用反向传播方法并通过损失值Lⁱ计算基于特征融合的恶意JavaScript脚本检测网络模型的权重矩阵梯度偏移矩阵梯度采用梯度下降法通过对权重矩阵和偏移矩阵进行更新；

(3d)判断i＞I是否成立，若是，得到训练好的基于特征融合的恶意JavaScript检测模型，否则，令i＝i+1，并执行步骤(3b)；

(4)获取恶意JavaScript脚本的检测结果：

将测试样本集Q₂作为训练好的基于特征融合的恶意JavaScript脚本检测模型的输入进行前向传播，得到每一个测试样本的预测概率若则Q₂中第k个训练样本对应的JavaScript脚本为恶意，否则该JavaScript脚本为正常。