申请/专利权人：西安电子科技大学

申请日：2022-03-11

公开（公告）日：2024-04-02

公开（公告）号：CN114595454B

主分类号：G06F21/56

分类号：G06F21/56;G06F8/41;G06F18/214;G06F18/2431;G06F18/25;G06N3/045;G06N3/0464;G06N3/0442;G06N3/084

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2022.06.24#实质审查的生效;2022.06.07#公开

摘要：本发明提出了一种基于混合分析和特征融合的恶意JavaScript脚本检测方法，用于解决现有技术中存在的检测精度较低的技术问题，实现步骤为：1获取训练样本集和测试样本集；2构建基于特征融合的恶意JavaScript脚本检测网络模型；3对基于特征融合的恶意JavaScript脚本检测网络模型进行迭代训练；4获取恶意JavaScript脚本的检测结果。本发明使用基于特征融合的恶意JavaScript脚本检测网络模型融合动静态特征并分类，避免了现有技术直接拼接动静态特征输入随机森林算法模型导致的破坏特征间的顺序信息的问题，有效提高恶意JavaScript脚本的检测精度。

主权项：1.一种基于混合分析和特征融合的恶意JS脚本检测方法，其特征在于，包括如下步骤：1获取训练样本集和测试样本集：1a获取V个JavaScript脚本J＝{Fv|1≤v≤V}，并运行每个JavaScript脚本Fv，对运行的Fv的调用应用程序接口API的行为进行动态监控，得到J对应的API调用序列S1＝{W1v|1≤v≤V}，同时对Fv进行静态语法解析，得到抽象语法树ASTv，通过深度优先遍历算法访问ASTv的每个语法单元节点，得到J对应的语法单元序列其中，V＞10000，Fv表示第v个JavaScript脚本，W1v、分别表示Fv对应的API调用序列、语法单元序列；1b利用Word2Vec模型分别对每个API调用序列W1v、语法单元序列进行转化，得到S1的API调用序列词向量T1＝{X1v|1≤v≤V}、S2的语法单元序列词向量1c对每个API调用序列词向量X1v和每个语法单元序列词向量通过同一标签进行标记，并将T1中半数以上的API调用序列词向量和T2中半数以上的语法单元序列词向量，以及每两个向量共同的标签组成训练样本集Q1,然后将T1中剩余的API调用序列词向量和T2中剩余的语法单元序列词向量，以及每两个向量共同的标签组成测试样本集Q2；2构建基于特征融合的恶意JavaScript脚本检测网络模型；构建包括并行排布的卷积神经网络CNN和双向长短期记忆神经网络BiLSTM的恶意JavaScript脚本检测网络模型，CNN和BiLSTM的输出端共同顺次连接有特征融合模块、特征分类器E；其中CNN包括相互重叠的卷积层和最大池化层，卷积层中卷积核的激活函数为relu；BiLSTM包括相互重叠的前向LSTM层和后向LSTM层，LSTM层中LSTM单元的激活函数为sigmoid；E包括全连接层和sigmoid激活函数输出层；3对基于特征融合的恶意JavaScript脚本检测网络模型进行迭代训练；3a初始化迭代次数为i，最大迭代次数为I，I≥200，基于特征融合的恶意JavaScript脚本检测网络模型的权重矩阵为偏移矩阵为并令i＝0；3b将训练样本集Q1作为基于特征融合的恶意JavaScript脚本检测网络模型的输入进行前向传播，CNN提取每个训练样本中语法单元序列的高维特征；同时BiLSTM提取每个训练样本中API调用序列的高维特征；特征融合模块对CNN提取的每个高维特征与BiLSTM提取的对应的高维特征进行融合，特征分类器E将每个融合高维特征映射为一个向量并输入sigmoid，得到每个训练样本的预测概率3c采用交叉熵损失函数，并通过计算本次迭代基于特征融合的恶意JavaScript脚本检测网络模型的损失值Li；采用反向传播方法并通过损失值Li计算基于特征融合的恶意JavaScript脚本检测网络模型的权重矩阵梯度偏移矩阵梯度采用梯度下降法通过对权重矩阵和偏移矩阵进行更新；3d判断i＞I是否成立，若是，得到训练好的基于特征融合的恶意JavaScript检测模型，否则，令i＝i+1，并执行步骤3b；4获取恶意JavaScript脚本的检测结果：将测试样本集Q2作为训练好的基于特征融合的恶意JavaScript脚本检测模型的输入进行前向传播，得到每一个测试样本的预测概率若则Q2中第k个训练样本对应的JavaScript脚本为恶意，否则该JavaScript脚本为正常。

全文数据：

权利要求：

百度查询： 西安电子科技大学 基于混合分析和特征融合的恶意JS脚本检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD