【技术实现步骤摘要】
本申请涉及恶意脚本检测领域,尤其涉及一种恶意脚本的检测方法、装置、设备及存储介质。
技术介绍
1、随着互联网的发展,网络安全已经成为互联网时代最为关键的问题之一,而恶意脚本已经成为近年来网络攻击的主要手段。恶意脚本是用于执行未授权的操作或破坏系统的脚本,传统上下文理解方式,很难理解代码的整体语义和意图,单纯依赖特征匹配或行为分析容易产生高误报率,并且随着黑客技术的不断发展,恶意脚本形式越来越多样化,而传统的检测手段难以应对,经常会出现漏报现象。
2、因此,如何准确的检测出恶意脚本,是本领域技术人员需要解决的问题。
技术实现思路
1、本申请提供了一种恶意脚本的检测方法、装置、设备及存储介质,以准确的检测出恶意脚本。
2、第一方面,本申请提供了一种恶意脚本的检测方法,包括:
3、获取待检测的目标脚本;
4、通过大语言模型对所述目标脚本执行处理操作得到操作结果,并根据操作结果生成目标提示词;
5、判断所述目标提示词是否为生成检测结果;
6、若否,则根据所述目标提示词确定待执行的处理操作;
7、通过所述大语言模型对操作结果执行所述待执行的处理操作,并基于生成的操作结果继续执行根据操作结果生成目标提示词的步骤;
8、若是,则根据各阶段的操作结果综合生成最终检测结果。
9、可选地,所述根据操作结果生成目标提示词,包括:
10、通过所述大语言模型的上下文感知功能及操作结果,动态
11、可选地,所述通过大语言模型对所述目标脚本执行处理操作得到操作结果,并根据操作结果生成目标提示词包括:
12、通过所述大语言模型识别所述目标脚本中的混淆特征,生成操作结果及目标提示词;若识别到混淆特征,则所述操作结果为包含混淆特征的代码,所述目标提示词为还原混淆代码。
13、可选地,根据所述目标提示词确定待执行的处理操作,包括:
14、若所述目标提示词为还原混淆代码,则待执行的处理操作为:通过所述大语言模型还原混淆代码;
15、若所述目标提示词为结构分析,则待执行的处理操作为:通过所述大语言模型分析代码的模块结构和函数调用;
16、若所述目标提示词为深度语义理解,则待执行的处理操作为:通过所述大语言模型分析代码的语义理解实际功能;
17、若所述目标提示词为行为特征提取,则待执行的处理操作为:通过所述大语言模型提取出恶意行为特征。
18、可选地,所述根据各阶段的操作结果综合生成最终检测结果,包括:
19、根据各阶段的操作结果确定代码分析结果;所述代码分析结果包括代码混淆程度分析结果、代码危险性分析结果、系统命令分析结果、网络通信分析结果、恶意行为特征分析结果中的至少一种;
20、根据每种类型的代码分析结果,以及与每种类型的代码分析结果对应的权重系数,计算危险总评分;
21、根据所述危险总评分确定所述目标代码的恶意风险评级结果。
22、可选地,所述通过大语言模型对所述目标脚本执行处理操作之前,还包括:
23、提取所述目标脚本中的opcode序列;
24、将所述opcode序列划分为多个基本块;
25、对多个基本块进行分析生成静态分析结果;
26、根据所述静态分析结果判断所述目标脚本是否存在恶意行为;
27、若是,则执行所述通过大语言模型对所述目标脚本执行处理操作的步骤。
28、可选地,所述对多个基本块进行分析生成静态分析结果,包括:
29、对每个基本块分析生成基本块分析结果;所述基本块分析结果包括:不同指令的出现频率、危险函数调用检测结果、循环结构复杂度、网络操作检测结果、文件操作检测结果中的至少一者;
30、将每个基本块分析结果进行汇总,生成静态分析结果。
31、第二方面,本申请提供了一种恶意脚本的检测装置,包括:
32、获取模块,用于获取待检测的目标脚本;
33、第一执行模块,用于通过大语言模型对所述目标脚本执行处理操作得到操作结果;
34、第一生成模块,用于根据操作结果生成目标提示词;
35、第一判断模块,用于判断所述目标提示词是否为生成检测结果;若否,则触发确定模块;若是,则触发第二生成模块;
36、确定模块,用于根据所述目标提示词确定待执行的处理操作;
37、第二执行模块,用于通过所述大语言模型对操作结果执行所述待执行的处理操作,并基于生成的操作结果触发所述第一生成模块;
38、第二生成模块,用于根据各阶段的操作结果综合生成最终检测结果。
39、第三方面,本申请提供了一种电子设备,包括:
40、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器通过所述计算机程序执行本申请上述恶意脚本的检测方法的步骤。
41、第四方面,本申请还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于执行本申请上述恶意脚本的检测方法的步骤。
42、本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请在检测恶意脚本时,获取待检测的目标脚本后,通过大语言模型对目标脚本执行处理操作得到操作结果,并根据操作结果生成目标提示词;判断目标提示词是否为生成检测结果;若否,则根据目标提示词确定待执行的处理操作;通过大语言模型对操作结果执行待执行的处理操作,并基于生成的操作结果继续执行根据操作结果生成目标提示词的步骤;若是,则根据各阶段的操作结果综合生成最终检测结果。可见,本申请在检测恶意脚本时,利用大语言模型进行深度语义理解,可以准确推断潜在的恶意意图,从而能够识别更复杂、隐蔽的恶意行为;并且本申请的大语言模型并不是一次性解析完整代码,而是通过层层推进的形式逐步分析,通过上一阶段生成的操作结果及提示词,更有针对性的指导大语言模型在下一阶段所执行的处理操作,确保在每一阶段都能清楚了解代码的意图,实现递进式的恶意行为分析,有效的检测复杂的恶意脚本。
本文档来自技高网...【技术保护点】
1.一种恶意脚本的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述根据操作结果生成目标提示词,包括:
3.根据权利要求1所述的检测方法,其特征在于,所述通过大语言模型对所述目标脚本执行处理操作得到操作结果,并根据操作结果生成目标提示词包括:
4.根据权利要求1所述的检测方法,其特征在于,根据所述目标提示词确定待执行的处理操作,包括:
5.根据权利要求1所述的检测方法,其特征在于,所述根据各阶段的操作结果综合生成最终检测结果,包括:
6.根据权利要求1至5中任意一项所述的检测方法,其特征在于,所述通过大语言模型对所述目标脚本执行处理操作之前,还包括:
7.根据权利要求6所述的检测方法,其特征在于,所述对多个基本块进行分析生成静态分析结果,包括:
8.一种恶意脚本的检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于执行本申请上
...【技术特征摘要】
1.一种恶意脚本的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述根据操作结果生成目标提示词,包括:
3.根据权利要求1所述的检测方法,其特征在于,所述通过大语言模型对所述目标脚本执行处理操作得到操作结果,并根据操作结果生成目标提示词包括:
4.根据权利要求1所述的检测方法,其特征在于,根据所述目标提示词确定待执行的处理操作,包括:
5.根据权利要求1所述的检测方法,其特征在于,所述根据各阶段的操作结果综合生成最终检测结果,包括:
【专利技术属性】
技术研发人员:翁迟迟,
申请(专利权)人:北京奇艺世纪科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。