【技术实现步骤摘要】
一种恶意文件检测方法、装置、电子设备及存储介质
[0001]本申请涉及计算机安全
,具体而言,涉及一种恶意文件检测方法、装置、电子设备及存储介质。
技术介绍
[0002]宏是MicroSoft公司专为Office软件包设计的一个特殊功能,却成为了黑客广泛利用的攻击手段,在Office文档中嵌入恶意宏代码达到攻击目的。
[0003]目前,恶意Ofiice文件检测方法主要包括动态检测方法和静态检测方法。动态检测方法由于要模拟真实环境,所以会导致较大的性能开销。静态检测方法能够降低对性能的开销,但是恶意样本变化多端,导致检测准确率低的问题。
技术实现思路
[0004]本申请实施例的目的在于提供一种恶意文件检测方法、装置、电子设备及存储介质,用以提高恶意文件检测的准确性。
[0005]第一方面,本申请实施例提供一种恶意文件检测方法,包括:
[0006]获取待检测文件的宏代码;
[0007]对宏代码中的函数进行标记,获得每个函数对应的标签;
[0008]根据每个函数分别对应...
【技术保护点】
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:获取待检测文件的宏代码;对所述宏代码中的函数进行标记,获得每个函数对应的标签;根据每个函数分别对应的标签及所述函数之间的调用关系生成第一调用序列矩阵,其中,所述第一调用序列矩阵中每个元素表示所述元素所在的行标签对应的函数和列标签对应函数之间是否存在调用关系;将所述第一调用序列矩阵与恶意样本对应的第二调用序列矩阵进行匹配,以获得所述待检测文件是否为恶意文件的结果。2.根据权利要求1所述的方法,其特征在于,所述将所述第一调用序列矩阵与恶意样本对应的第二调用序列矩阵进行匹配,以获得所述待检测文件是否为恶意文件的结果,包括:将所述第一调用序列矩阵中的每个第一元素与所述第二调用序列矩阵中的对应位置的第二元素进行匹配;若所述第二调用序列矩阵中所有表征行标签对应的函数与列标签对应的函数具备调用关系的第二元素,均与所述第一调用序列矩阵中的第一元素匹配成功,则确定所述待检测文件为恶意文件,否则确定所述待检测文件不是恶意文件。3.根据权利要求1所述的方法,其特征在于,所述第二调用序列矩阵中行标签对应的函数与列标签对应的函数之间具备调用关系的元素采用第一标识表示,行标签对应的函数与列标签对应的函数之间不具备调用关系的元素采用第二标识表示;所述将所述第一调用序列矩阵与恶意样本对应的第二调用序列矩阵进行匹配,包括:获取所述第二调用序列矩阵中所有第一标识对应的元素位置;若所述第一调用序列矩阵中所述元素位置对应的元素也均为所述第一标识,则确定所述待检测文件为恶意文件;否则确定所述待检测文件不是恶意文件。4.根据权利要求1所述的方法,其特征在于,所述根据每个函数分别对应的标签及所述函数之间的调用关系生成第一调用序列矩阵,包括:根据所述宏代码对应的函数之间的调用关系生成函数调用序列图,所述函数调用序列图包括函数名称及所述函数名称之间的调用关系;将所述函数调用序列图中每个函数名称用对应的标签进行替换,获得标签调用序列图;根据所述标签调用序列图生成所述第一调用序列矩阵。5.根据权利要求1所述的方法,其特征在于,所述获取待检测文件的宏代码包括:获取所述待检测文件的文件头;根据所述文件...
【专利技术属性】
技术研发人员:徐晓,薛智慧,余小军,黄娜,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。