(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109983464A(43)申请公布日2019.07.05(21)申请号201780071948.8(74)专利代理机构北京市柳沈律师事务所(22)申请日2017.09.2911105代理人张晓明(30)优先权数据62/402,3742016.09.30US(51)Int.Cl.G06F21/56(2006.01)(85)PCT国际申请进入国家阶段日2019.05.21(86)PCT国际申请的申请数据PCT/EP2017/0748462017.09.29(87)PCT国际申请的公布数据WO2018/060461EN2018.04.05(71)申请人爱维士软件有限责任公司地址捷克共和国布拉格(72)发明人J.塞特科权利要求书2页说明书7页附图5页(54)发明名称检测恶意脚本(57)摘要系统和方法标准化可执行脚本。可以接收可能包含可执行脚本的文件。文件中的字符被转换为单个大小写(大写或小写)。可以删除重复的空格。在文件中标识脚本。处理脚本中的标记以创建标准化输出。标准化输出可以包括作为留存关键字、控制流字符或脚本文件中的数据字符的标记。CN109983464ACN109983464A权利要求书1/2页1.一种用于检测恶意脚本的计算机实现的方法，所述计算机实现的方法包括以下步骤：接收文件；将所述文件中的字符转换为单一大小写体；识别所述文件中的脚本；确定所述脚本的令牌；以及创建所述脚本的标准化输出，其中所述标准化输出包括作为留存关键字、控制流字符、以及数据字符中的至少一个的令牌。2.如权利要求1所述的计算机实现的方法，其中，所述留存关键字包括流行或感兴趣的函数名。3.如权利要求1所述的计算机实现的方法，其中，所述留存关键字包括用于脚本语言的保留关键字。4.如权利要求1所述的计算机实现的方法，其中，创建所述脚本的标准化输出包括从所述脚本中过滤注释、字符串定义以及正则表达式，使得所述注释、字符串定义、正则表达式不出现在所述标准化输出中。5.如权利要求1所述的计算机实现的方法，其中，识别所述文件中的脚本包括识别所述文件中的脚本分隔符。6.如权利要求1所述的计算机实现的方法，还包括以下步骤：从所述文件中移除重复的空格字符。7.如权利要求1所述的计算机实现的方法，还包括以下步骤：将所述脚本的标准化输出与已知恶意脚本的数据库进行比较。8.如权利要求7所述的计算机实现的方法，还包括以下步骤：生成所述标准化输出的第一散列值；其中，比较所述脚本的标准化输出的步骤包括将所述第一散列值与关联于第二脚本的第二散列值进行比较。9.一种用于恶意软件检测的系统，包括：至少一个处理器；以及一种非暂时性计算机可读存储介质，其上存储有程序，所述程序使计算机执行以下步骤：接收包含脚本的文件；将所述文件中的字符转换为单一大小写体；识别所述文件中的脚本；确定所述脚本的令牌；以及创建所述脚本的标准化输出，其中所述标准化输出包括作为留存关键字、控制流字符、以及数据字符中的至少一个的令牌。10.如权利要求9所述的系统，其中，所述至少一个处理器包括用于生成散列值的反恶意软件单元。11.如权利要求10所述的系统，其中，所述反恶意软件单元包括用于移除不必要信息的脚本标准化器。2CN109983464A权利要求书2/2页12.如权利要求9所述的系统，所述系统还包括：提交服务器、内部文件数据库、主应用程序服务器、分析员用户界面、以及内部分析服务器。13.一种非暂时性计算机可读介质，其上存储有用于使一个或多个处理器执行以下操作的计算机可执行指令：接收包含脚本的文件；将所述文件中的字符转换为单一大小写体；识别所述文件中的脚本；确定所述脚本的令牌；以及创建所述脚本的标准化输出，其中所述标准化输出包括作为留存关键字、控制流字符、以及数据字符中的至少一个的令牌。3CN109983464A说明书1/7页检测恶意脚本技术领域[0001]本发明一般涉及用于计算机系统中的恶意软件检测的系统和方法，更具体地，涉及检测恶意脚本。背景技术[0002]恶意软件(为“恶意的软件”的缩写)是用于在用户不知情或未经用户同意的情况下破坏计算机操作、损害数据、收集敏感信息，或获得访问私人计算机系统权限的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、rootkit、勒索软件等。恶意软件开发者使用的一种常见机制是将恶意软件嵌入到被做成用户看似可取的文件中，或者用户访问网站时下载并执行的文件中。例如，恶意软件可以嵌入到看似合法且有用的软件应用程序中。用户下载文件，当文件被打开时，文件中的恶意软件被执行。包含恶意软件的文件可称为恶意文件。[0003]为了保护计算设备而检测恶意软件是主要关注的问题。最近，已经有许多尝试来改进恶意软件检测。一种这样的尝试涉及