本发明专利技术公开了一种office文档文件的恶意代码检测方法,首先将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;然后提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测,该方法适用于企业产品,能够有效防止恶意office文档文件进入用户系统进而执行恶意行为。
【技术实现步骤摘要】
一种office文档文件的恶意代码检测方法及系统
本专利技术涉及网络安全
,具体为一种office文档文件的恶意代码检测方法及系统。
技术介绍
恶意office文档文件通常包括两种情况,一方面为恶意宏,另一方面为具有溢出行为的恶意office文件。宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档很危险,其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈"。近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势。有溢出行为的文档通常是伴随office“漏洞”而生,通过利用漏洞可以让word文件悄悄的在后台其他PE文件,近两年备受关注的“APT”高级威胁通常也是通过潜伏在利用漏洞的office文档中,再配合鱼叉式钓鱼邮件传播的,因此溢出文档的威胁能力可以想见。所以Office文档格式的威胁根据不同情况、不同样本、不同方法可以转换成各种高风险威胁。近两年office文档文件病毒居高不下,由于常见的可执行文件会备受各种防护系统、杀毒软件所关注,而采取文档文件内置病毒的方法可以掩人耳目获得更高效的感染目的。例如近两年流行的勒索者病毒、powershell病毒均可内置office文档文件中感染用户系统。
技术实现思路
为了克服现有技术方案的不足,本专利技术提供一种office文档文件的恶意代码检测方法,通过结合沙箱判断、静态特征匹配、进程链判断等多种技术手段,最终有效识别溢出类文档文件和宏病毒类文档文件,最终有效防止恶意office文档文件进入用户系统执行恶意行为。本专利技术解决其技术问题所采用的技术方案是:一种office文档文件的恶意代码检测方法,包括如下步骤:(S10)将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;(S20)提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。作为本专利技术一种优选的技术方案,所述步骤(S10)中将待检测文档文件投入虚拟沙箱后,是通过运行各流行版本的office软件来监控是否存在异常行为。作为本专利技术一种优选的技术方案,所述步骤(S10)中监控是否存在异常行为包括:是否存在可疑EXE进程链,若存在则提取相关EXE文件进行进一步检测;是否存在联网行为,若存在则判断联网行为所涉及网络与白名单是否匹配,若匹配则判定为正常文件,否则提取相关EXE文件进行进一步检测。作为本专利技术一种优选的技术方案,提取相关EXE文件进行进一步检测的方法具体为:将EXE文件与文件白名单匹配,若匹配成功则判定为正常文件,否则按照已有策略对所述EXE文件进行恶意代码检测。作为本专利技术一种优选的技术方案,所述联网行为存在的话,其进一步检测的方法包括:若联网行为所涉及网路有活性,则下载可执行代码到本地,并进一步判断所述可执行代码是否恶意;若联网行为所涉及网络已失活,则将所涉及网络与网络白名单匹配,若匹配失败则报警并判定为疑似宏病毒文档文件。另外本专利技术还设计了一种office文档文件的恶意代码检测系统,包括:溢出文件检测模块,用于将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;宏病毒检测模块,用于提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。与现有技术相比,本专利技术的有益效果是:本专利技术给出一种office文档文件的恶意代码检测方法及系统,一方面通过监控待检测文档文件是否存在溢出行为,包括:投入虚拟沙箱执行并判断是否存在异常行为;另一方面对于具备宏的文档文件,则提取待检测文档文件中的宏代码,首先进行静态特征匹配,若匹配失败,则虚拟运行所述宏代码,并主要监控其联网行为,通过对联网行为的进一步分析最终判定是否为具备恶意代码的文档文件。本专利技术所述技术方案针对目前存在的多数恶意文档都具备较好的检出效果,不仅能够检出具备溢出行为的恶意文档文件,同时能够有效检出含有恶意宏病毒的文档文件,进而有效防止恶意office文档文件进入系统,对用户的系统安全造成更大的威胁。附图说明图1为本专利技术提供的一种office文档文件的恶意代码检测方法实施例流程图;图2为本专利技术提供的一种office文档文件的恶意代码检测系统实施例结构图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例:如图1所示,一种office文档文件的恶意代码检测方法,包括:S101:将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测。其中,所述将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,具体为:将待检测文档文件投入虚拟沙箱,并运行各流行版本的office软件,并监控是否存在异常行为。其中,在各流行版本的office软件上运行待检测文档文件,进而监控运行结果,使得检测结果更加全面。其中,所述监控是否存在异常行为包括但不仅限于:是否存在可疑EXE进程链,即在待检测文档文件的母进程下方是否包含可疑EXE子进程,若存在则提取相关EXE文件进行进一步检测;当发现存在可疑EXE子进程则可以认为待检测文档文件存在溢出可执行文件的行为;是否存在联网行为,若存在则判断联网行为所涉及网络与白名单是否匹配,若匹配则判定为正常文件,否则提取相关EXE文件进行进一步检测。具体实施方法可以为:将联网行为所涉及网络的IP地址与域名与白名单匹配,并判断是否匹配,若匹配失败则判定为存在疑似溢出联网行为,则可以进一步提取相关EXE文件进行进一步检测。其中,所述提取相关EXE文件进行进一步检测,具体为:将EXE文件与文件白名单匹配,若匹配成功则判定为正常文件,否则按照已有策略对所述EXE文件进行恶意代码检测。S102:提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则执行S103。其中,步骤S102可以先判断宏代码是否经过加密处理,若经过加密处理,则直接执行S103。S103:运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。除了监控是否存在联网行为,还可以监控是否存在恶意行为,包括但不限于:删除文件、加密用户文件等明显的恶意操作,若是,则可以直接判定为宏病毒文档文件。其中,所述监控是否存在联网行为,若存在则进行进一步检测,具体包括但不限于:若联网行为所涉及网路有活性,则下载可执行代码到本地,并进一步判断所述可执行代码是否恶意;若联网行为所涉及网本文档来自技高网...
【技术保护点】
一种office文档文件的恶意代码检测方法,其特征在于:包括如下步骤:(S10)将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;(S20)提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。
【技术特征摘要】
1.一种office文档文件的恶意代码检测方法,其特征在于:包括如下步骤:(S10)将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;(S20)提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。2.根据权利要求1所述的一种office文档文件的恶意代码检测方法,其特征在于:所述步骤(S10)中将待检测文档文件投入虚拟沙箱后,是通过运行各流行版本的office软件来监控是否存在异常行为。3.根据权利要求1所述的一种office文档文件的恶意代码检测方法,其特征在于:所述步骤(S10)中监控是否存在异常行为包括:是否存在可疑EXE进程链,若存在则提取相关EXE文件进行进一步检测;是否存在联网行为,若存在则判断联网行为所涉及网络与白名单是否匹配,若匹配则判定为正常文件,否则提取相关EXE文件进行进一步检测。4.根据权...
【专利技术属性】
技术研发人员:李海灵,邹潇湘,高昕,侯美佳,何跃鹰,卓子寒,刘中金,方喆君,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。