[发明专利]基于混合分析和特征融合的恶意JS脚本检测方法

说明书

本发明提出了一种基于混合分析和特征融合的恶意JavaScript脚本检测方法，用于解决现有技术中存在的检测精度较低的技术问题，实现步骤为：(1)获取训练样本集和测试样本集；(2)构建基于特征融合的恶意JavaScript脚本检测网络模型；(3)对基于特征融合的恶意JavaScript脚本检测网络模型进行迭代训练；(4)获取恶意JavaScript脚本的检测结果。本发明使用基于特征融合的恶意JavaScript脚本检测网络模型融合动静态特征并分类，避免了现有技术直接拼接动静态特征输入随机森林算法模型导致的破坏特征间的顺序信息的问题，有效提高恶意JavaScript脚本的检测精度。

技术领域

本发明属于信息安全技术领域，涉及一种恶意JavaScript脚本检测方法，涉及一种具体基于混合分析和特征融合的恶意JavaScript脚本检测方法，可用于检测经过复杂混淆保护的恶意JavaScript脚本。

背景技术

JavaScript脚本作为世界上最流行的前端脚本之一，在互联网中起着重要的作用，JavaScript脚本利用应用程序接口API操作浏览器，从而实现利用JavaScript脚本优化界面、验证表单数据、检查浏览器信息、响应浏览器操作、控制登录凭证等等。

JavaScript脚本的动态特性极大简化了浏览器前端开发工作。首先JavaScript脚本具有跨平台性，仅需要浏览器的支持，不依赖操作系统。其次，JavaScript脚本具有动态特性，JavaScript脚本语法简单、灵活，非常适用于复杂多变的浏览器任务。另外，JavaScript脚本是一种解释性语言，不需要预编译，可以一边解释一边执行。

虽然JavaScript脚本的跨平台性和动态性在浏览器前端开发中具有很大的优势，但同时也是黑客攻击的主要载体之一。例如Drive-by-Download攻击、跨站脚本攻击(XSS)、堆喷射攻击(Heap spraying attacks)、点击劫持攻击(ClickJacking)等恶意攻击。这些攻击能够窃取用户的数据、创造能够自我复制的恶意蠕虫、控制用户的浏览器下载恶意软件，对互联网用户的信息安全造成了极大的威胁。并且为了完成恶意攻击，JavaScript脚本也需要调用不同的API。为此，研究如何精准有效的检测出恶意JavaScript脚本已经成为了一项重要的工作。

目前针对恶意JavaScript脚本检测技术主要分为基于静态分析的检测技术、基于动态分析的检测技术和基于混合分析的检测技术。基于静态分析的检测技术主要是利用源代码分析、词法分析、语法树分析、等静态分析技术，在不运行程序的情况下分析JavaScript脚本,提取JavaScript脚本的静态特征，利用静态特征进行恶意JavaScript脚本检测。基于动态分析的检测技术主要是利用动态插桩，沙箱执行等方式提取JavaScript脚本的动态特征，如文件读写次数、函数调用、变量值跟踪等信息，通过动态特征来判断JavaScript脚本的恶意性。基于混合分析的检测技术既使用静态分析提取静态特征，又使用动态分析提取动态特征，通过静态特征和动态特征综合判断JavaScript脚本的恶意性。

随着机器学习技术和深度学习技术的发展，卷积神经网络CNN和双向长短期记忆神经网络BiLSTM和随机森林算法模型也用于恶意JavaScript脚本检测中。CNN是一类包含卷积计算且具有深度结构的前馈神经网络，CNN能够考虑输入的空间分布，从而捕获输入特征间的顺序信息；BiLSTM是一种时间循环神经网络，LSTM层的输入不仅包括输入层的输出，还包括上一时刻LSTM层的输出，同样能够捕获输入特征间的顺序信息；随机森林算法是通过集成学习的思想，将多棵决策树进行集成的算法，在生成随机森林的过程中会进行特征随机选择，从而破坏相邻特征间的顺序信息。