本申请公开了一种Office文件检测方法、装置、设备及可读存储介质。本申请公开的方法包括:获取待检测的Office文件;若所述Office文件为黑文件,则将所述Office文件转换为结构树;利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树;若所述更新树不包括恶意数据,则将该节点处的数据作为恶意特征记录至恶意数据库。本申请基于静态Office文件就能检测出其中的恶意特征,且不关注恶意特征是否已知,也无需设定供Office文件运行的虚拟化隔离环境,能够基于较低性能条件,快速且准确地检测Office文件中的恶意特征。相应地,本申请提供的一种Office文件检测装置、设备及可读存储介质,也同样具有上述技术效果。也同样具有上述技术效果。也同样具有上述技术效果。
【技术实现步骤摘要】
一种Office文件检测方法、装置、设备及可读存储介质
[0001]本申请涉及计算机
,特别涉及一种Office文件检测方法、装置、设备及可读存储介质。
技术介绍
[0002]目前,一般通过人工检测和沙箱检测确定Office文件中的恶意特征。人工检测需要人为分析Office文件的相关代码和内容,该过程耗时耗力,且提取的恶意特征的好坏依赖于技术人员的分析能力和经验,难以提取出较新的恶意特征。沙箱检测需要使Office文件运行在虚拟化隔离环境中,性能和成本要求较高。
[0003]因此,如何基于较低性能条件,快速且准确地检测Office文件中的恶意特征,是本领域技术人员需要解决的问题。
技术实现思路
[0004]有鉴于此,本申请的目的在于提供一种Office文件检测方法、装置、设备及可读存储介质,以基于较低性能条件,快速且准确地检测Office文件中的恶意特征。其具体方案如下:
[0005]第一方面,本申请提供了一种Office文件检测方法,包括:
[0006]获取待检测的Office文件;
[0007]若所述Office文件为黑文件,则将所述Office文件转换为结构树;
[0008]利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树;
[0009]若所述更新树不包括恶意数据,则将该节点处的数据作为恶意特征记录至恶意数据库。
[0010]优选地,所述将所述Office文件转换为结构树,包括:
[0011]解析所述Office文件,以得到多个数据仓库;
[0012]将每个数据仓库中的数据流确定为树节点,并连接各个树节点得到所述结构树。
[0013]优选地,所述将每个数据仓库中的数据流确定为树节点之前,还包括:
[0014]按照预设扇区大小将每个数据仓库中的数据流划分为多个数据块。
[0015]优选地,所述利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树,包括:
[0016]在该节点处的数据中确定可替换的部分数据块;
[0017]利用所述任意白数据替换所述部分数据块,以得到更新树。
[0018]优选地,所述利用所述任意白数据替换所述部分数据块,以得到更新树,包括:
[0019]确定所述部分数据块的类型;
[0020]在预设替换库中查询与所述类型对应的目标白数据;
[0021]利用所述目标白数据替换所述部分数据块,以得到更新树。
[0022]优选地,还包括:
[0023]在所述更新树包括恶意数据的情况下,和/或所述将该节点处的数据作为恶意特征记录至恶意数据库之后,将所述结构树中已被替换的节点确定为已检测节点,并在所述结构树中确定除所述已检测节点以外的其他节点,并利用任意白数据替换所述其他节点处的数据,以得到新的更新树。
[0024]优选地,还包括:
[0025]利用所述恶意数据库检测未知Office文件。
[0026]优选地,若多个杀毒引擎中的任意杀毒引擎判定Office文件包括恶意数据,则确定Office文件为黑文件。
[0027]第二方面,本申请提供了一种Office文件检测装置,包括:
[0028]获取模块,用于获取待检测的Office文件;
[0029]转换模块,用于若所述Office文件为黑文件,则将所述Office文件转换为结构树;
[0030]替换模块,用于利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树;
[0031]记录模块,用于若所述更新树不包括恶意数据,则将该节点处的数据作为恶意特征记录至恶意数据库。
[0032]第三方面,本申请提供了一种电子设备,包括:
[0033]存储器,用于存储计算机程序;
[0034]处理器,用于执行所述计算机程序,以实现前述公开的Office文件检测方法。
[0035]第四方面,本申请提供了一种可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的Office文件检测方法。
[0036]通过以上方案可知,本申请提供了一种Office文件检测方法,包括:获取待检测的Office文件;若所述Office文件为黑文件,则将所述Office文件转换为结构树;利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树;若所述更新树不包括恶意数据,则将该节点处的数据作为恶意特征记录至恶意数据库。
[0037]可见,本申请针对Office黑文件,将其转换为结构树,并利用任意白数据替换结构树中的任意节点处的数据,得到更新树;若所得的更新树中不包括恶意数据,则表明经过替换,黑文件转换成了白文件,也就说明被替换的这些数据是导致Office文件为黑文件的原因,因此将这些数据作为恶意特征记录至恶意数据库。本申请无需运行Office文件,基于静态Office文件就能检测出其中的恶意特征,且不关注恶意特征是否已知,因此可以记录新的恶意特征。当然也无需设定供Office文件运行的虚拟化隔离环境,性能和成本要求较低。可见本申请基于较低性能条件,能够快速且准确地检测Office文件中的恶意特征。
[0038]相应地,本申请提供的一种Office文件检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
[0039]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0040]图1为本申请公开的一种Office文件检测方法流程图;
[0041]图2本申请公开的一种Office文件中的数据流示意图;
[0042]图3为本申请公开的另一种Office文件检测方法流程图;
[0043]图4为本申请公开的一种Office文件检测装置示意图;
[0044]图5为本申请公开的一种电子设备示意图;
[0045]图6为本申请公开的另一种电子设备示意图。
具体实施方式
[0046]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0047]目前,人工检测需要人为分析Office文件的相关代码和内容,该过程耗时耗力,且提取的恶意特征的好坏依赖于技术人员的分析能力和经验,难以提取出较新的恶意特征。沙箱检测需要使Office文件运行在虚拟化隔离环境中,性能和成本要求较高。为此,本申请提供了一种Office文件检测方案,能够基于较低性能条件,快速且准确地检测Office文件中的恶意特征。
...
【技术保护点】
【技术特征摘要】
1.一种Office文件检测方法,其特征在于,包括:获取待检测的Office文件;若所述Office文件为黑文件,则将所述Office文件转换为结构树;利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树;若所述更新树不包括恶意数据,则将该节点处的数据作为恶意特征记录至恶意数据库。2.根据权利要求1所述的Office文件检测方法,其特征在于,所述将所述Office文件转换为结构树,包括:解析所述Office文件,以得到多个数据仓库;将每个数据仓库中的数据流确定为树节点,并连接各个树节点得到所述结构树。3.根据权利要求2所述的Office文件检测方法,其特征在于,所述将每个数据仓库中的数据流确定为树节点之前,还包括:按照预设扇区大小将每个数据仓库中的数据流划分为多个数据块。4.根据权利要求3所述的Office文件检测方法,其特征在于,所述利用任意白数据替换所述结构树中的任意节点处的数据,以得到更新树,包括:在该节点处的数据中确定可替换的部分数据块;利用所述任意白数据替换所述部分数据块,以得到更新树。5.根据权利要求4所述的Office文件检测方法,其特征在于,所述利用所述任意白数据替换所述部分数据块,以得到更新树,包括:确定所述部分数据块的类型;在预设替换库中查询与所述类型对应的目标白数据;利用所述目标白数据替换所述部分数据块...
【专利技术属性】
技术研发人员:梁文翔,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。