本申请公开了一种文件宏病毒检测方法,该方法包括:在获得的目标文件中确定待检测文件;提取待检测文件中的宏代码特征;基于待检测文件的宏代码特征,利用预先训练好的检测模型,确定待检测文件是否携带宏病毒。应用本申请实施例所提供的技术方案,可以避免在待检测文件携带宏病毒的情况下因打开或者执行待检测文件而触发宏病毒的运行,对用户的计算机或者文档造成损害,可以连续对多个待检测文件进行实时检测,而且,利用待检测文件的宏代码特征和预先训练好的检测模型,可以准确确定待检测文件是否携带宏病毒,提高宏病毒识别准确率,提升对未知宏病毒检测能力。本申请还公开了一种文件宏病毒检测装置、设备及存储介质,具有相应技术效果。
【技术实现步骤摘要】
一种文件宏病毒检测方法、装置、设备及存储介质
本申请涉及计算机应用
,特别是涉及一种文件宏病毒检测方法、装置、设备及存储介质。
技术介绍
宏病毒,是一种寄存在常见办公文档或者模版的宏中的计算机病毒,具有流行度高、传染性强和危害大等特点。携带有宏病毒的文档的一旦被打开,其中的宏病毒就会被执行,从而对计算机造成危害。目前,对于文件中宏病毒检测的一种方法是利用沙箱动态检测技术,将文件放入沙箱中执行,获取执行报告,确定是否携带宏病毒。这种方法存在一定的缺点。首先,每检测一个文件都需要启动和销毁一套系统环境,无法对文件进行实时检测。另外,很多宏病毒具备反沙箱技术,从而导致通过这种方法无法准确识别到文件中的宏病毒。
技术实现思路
本申请的目的是提供一种文件宏病毒检测方法、装置、设备及存储介质,以对文件中是否携带宏病毒进行实时检测,提高检测准确率。为解决上述技术问题,本申请提供如下技术方案:一种文件宏病毒检测方法,包括:在获得的目标文件中确定待检测文件;提取所述待检测文件中的宏代码特征;基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒。在本申请的一种具体实施方式中,所述在获得的目标文件中确定待检测文件,包括:对目标文件进行格式识别;根据格式识别结果,判断所述目标文件是否为办公文档文件;如果所述目标文件为办公文档文件,则判断所述目标文件中是否包含宏代码;如果所述目标文件中包含宏代码,则将所述目标文件确定为待检测文件。在本申请的一种具体实施方式中,所述提取所述待检测文件中的宏代码特征,包括:判断所述待检测文件中是否包含宏代码;如果所述待检测文件中包含宏代码,则在所述待检测文件中提取宏代码,获得宏代码文件;在所述宏代码文件中提取宏代码特征。在本申请的一种具体实施方式中,所述在所述待检测文件中提取宏代码,获得宏代码文件,包括:利用宏代码抽取工具在所述待检测文件中逐行提取宏代码;将提取到的宏代码进行拼接,获得宏代码文件。在本申请的一种具体实施方式中,所述基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒,包括:将所述待检测文件的宏代码特征输入到预先训练好的检测模型中,获得预测值;根据所述预测值,确定所述待检测文件是否携带宏病毒。在本申请的一种具体实施方式中,所述根据所述预测值,确定所述待检测文件是否携带宏病毒,包括:将所述预测值与预设阈值进行对比;根据对比结果,判定所述待检测文件是否携带宏病毒。在本申请的一种具体实施方式中,通过以下步骤预先训练获得所述检测模型:建立检测初始模型;获得携带宏代码的白文件和黑文件;分别提取所述白文件和所述黑文件中的宏代码特征;基于所述白文件和所述黑文件的宏代码特征,对所述检测初始模型进行训练,获得训练好的所述检测模型。在本申请的一种具体实施方式中,所述白文件和所述黑文件的宏代码特征包括以下特征中的至少一种:信息熵、注册表操作、文件读写、网络请求、创建壳shell、编码转换、自动执行、字符串混淆拼接。一种文件宏病毒检测装置,包括:文件确定模块,用于在获得的目标文件中确定待检测文件;特征提取模块,用于提取所述待检测文件中的宏代码特征;宏病毒检测模块,用于基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒。一种文件宏病毒检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述任一项所述文件宏病毒检测方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述文件宏病毒检测方法的步骤。应用本申请实施例所提供的技术方案,在获得的目标文件中确定待检测文件后,可以提取待检测文件中的宏代码特征,基于待检测文件的宏代码特征,可以利用预先训练好的检测模型,确定待检测文件是否携带宏病毒。宏代码特征的获得不需要打开或者执行待检测文件,可以从待检测文件的宏代码中获得相应特征,这样可以避免在待检测文件携带宏病毒的情况下因打开或者执行待检测文件而触发宏病毒的运行,对用户的计算机或者文档造成损害,可以连续对多个待检测文件进行实时检测。而且,利用待检测文件的宏代码特征和预先训练好的检测模型,可以准确确定待检测文件是否携带宏病毒,提高宏病毒识别准确率,提升对未知宏病毒检测能力。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例中一种文件宏病毒检测方法的实施流程图;图2为本申请实施例中一种文件宏病毒检测装置的结构示意图;图3为本申请实施例中一种文件宏病毒检测设备的结构示意图。具体实施方式为了使本
的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。参见图1所示,为本申请实施例所提供的一种文件宏病毒检测方法的实施流程图,该方法可以包括以下步骤:S110:在获得的目标文件中确定待检测文件。宏病毒,通常是使用VBA(VisualBasicforApplication)编写的,依存于办公文档本身,与系统无关,常常通过邮件附件等方式传播,在邮件主题或者正文中诱导用户打开文档并启用宏,宏病毒代码得以执行后往往会释放文件或者从远端服务器拉取PE病毒来固化攻击成果。本申请实施例只针对文件本身进行检测,可以覆盖多个协议场景,如邮件、内网SMB(ServerMessageBlock,服务器信息块)文件共享、FTP(FileTransferProtocol,文件传输协议)和HTTP(HyperTextTransferProtocol,超文本传输协议)文件传输等场景。在实际应用中,可以在上述场景中进行宏病毒检测,每当监测到上述场景中存在文件时,都可以将该文件确定为目标文件,进而在目标文件中确定待检测文件,或者,可以在文件目录中进行宏病毒检测,根据接收到的检测指令,将指定目录中的每个文件确定为目标文件,进而在目标文件中确定待检测文件,或者,可以将指定的一些携带有宏代码的文件确定为目标文件,进而在目标文件中确定待检测文件。待检测文件即为当前要对其是否携带宏病毒进行检测的文件。S120:本文档来自技高网...
【技术保护点】
1.一种文件宏病毒检测方法,其特征在于,包括:/n在获得的目标文件中确定待检测文件;/n提取所述待检测文件中的宏代码特征;/n基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒。/n
【技术特征摘要】
1.一种文件宏病毒检测方法,其特征在于,包括:
在获得的目标文件中确定待检测文件;
提取所述待检测文件中的宏代码特征;
基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒。
2.根据权利要求1所述的方法,其特征在于,所述在获得的目标文件中确定待检测文件,包括:
对目标文件进行格式识别;
根据格式识别结果,判断所述目标文件是否为办公文档文件;
如果所述目标文件为办公文档文件,则判断所述目标文件中是否包含宏代码;
如果所述目标文件中包含宏代码,则将所述目标文件确定为待检测文件。
3.根据权利要求1所述的方法,其特征在于,所述提取所述待检测文件中的宏代码特征,包括:
判断所述待检测文件中是否包含宏代码;
如果所述待检测文件中包含宏代码,则在所述待检测文件中提取宏代码,获得宏代码文件;
在所述宏代码文件中提取宏代码特征。
4.根据权利要求3所述的方法,其特征在于,所述在所述待检测文件中提取宏代码,获得宏代码文件,包括:
利用宏代码抽取工具在所述待检测文件中逐行提取宏代码;
将提取到的宏代码进行拼接,获得宏代码文件。
5.根据权利要求1所述的方法,其特征在于,所述基于所述待检测文件的宏代码特征,利用预先训练好的检测模型,确定所述待检测文件是否携带宏病毒,包括:
将所述待检测文件的宏代码特征输入到预先训练好的检测模型中,获得预测值;
根据所述预测值,确定所述待检测文件是否携带宏病毒。
6.根据权利要求5所述...
【专利技术属性】
技术研发人员:杨玉华,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。