【技术实现步骤摘要】
一种宏脚本处置方法及系统、客户端
[0001]本申请涉及网络安全
,特别是涉及一种宏脚本处置方法及系统
、
客户端
。
技术介绍
[0002]诸如
Office
等应用程序被广泛应用于企事业单位的日常办公活动中,而宏脚本由于具有可自动化执行应用程序中的操作和任务的特性,其被频繁应用于应用程序
。
一些不法分子会将其制作的恶意宏脚本伪装为应用程序相关的宏脚本掺杂在应用程序的正常宏脚本中,以基于恶意宏脚本可自动化执行应用程序中的操作和任务的特性,在用户不知情的情况下植入木马或间谍程序,从而达到控制应用程序所在终端设备或者窃取隐私数据的目的
。
[0003]应用程序的运行过程中会运行相关的宏脚本,一旦相关的宏脚本中掺杂的恶意宏脚本被运行,则会对应用程序所在终端设备或企事业单位的隐私数据造成损害
。
目前无法对应用程序运行的恶意宏脚本进行有效识别和处置
。
技术实现思路
[0004]有鉴于此,本申请提出了一种宏脚本处
【技术保护点】
【技术特征摘要】
1.
一种宏脚本处置方法,其特征在于,所述方法包括:响应于检测到终端设备运行的应用程序启动可疑宏脚本,基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别;若恶意宏脚本识别结果确定所述可疑宏脚本为恶意宏脚本,则确定所述恶意宏脚本的处置策略;基于所述处置策略处置所述恶意宏脚本
。2.
根据权利要求1所述的方法,其特征在于,若存在至少两种预设识别策略,则基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别,包括:依据至少两种预设识别策略的预设使用顺序,确定当前使用的预设识别策略,并基于当前使用的预设识别策略对所述可疑宏脚本进行恶意宏脚本识别;若基于当前使用的预设识别策略识别出所述可疑宏脚本为恶意宏脚本,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果,且终止对所述可疑宏脚本的恶意宏脚本识别;若基于当前使用的预设识别策略识别出所述可疑宏脚本为非恶意宏脚本,则检测当前使用的预设识别策略是否位于所述预设使用顺序的最后一位;若是,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果;否则,则使用下一个预设识别策略继续对所述可疑宏脚本进行恶意宏脚本识别直至识别出所述可疑宏脚本为恶意宏脚本,或者,识别出所述可疑宏脚本为非恶意宏脚本,且当前使用的预设识别策略位于所述预设使用顺序的最后一位
。3.
根据权利要求1所述的方法,其特征在于,若存在至少一种预设识别策略,则基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别,包括:采用至少一种预设识别策略分别对所述可疑宏脚本进行恶意宏脚本识别;若识别出所述可疑宏脚本为恶意宏脚本的预设识别策略的数量达到预设数量,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若基于所有预设识别策略均未识别出所述可疑宏脚本为恶意宏脚本,或识别出所述可疑宏脚本为恶意宏脚本的预设识别策略数量未达到所述预设数量,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果
。4.
根据权利要求2或3所述的方法,其特征在于,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于行为特征进行恶意宏脚本识别,则将所述可疑宏脚本的代码注入第一隔离环境内的第一预设进程;执行注入代码的第一预设进程,并监控所述第一预设进程的行为特征;若监控到恶意行为特征,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若未监控到恶意行为特征,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果
。5.
根据权利要求2或3所述的方法,其特征在于,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于宏脚本代码进行恶意宏脚本识别,则通过所述代码分析模
型分析所述可疑宏脚本的代码;若所述代码分析模型分析出所述代码包括恶意代码,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若所述代码分析模型分析出所述代码不包括恶意代码,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果
。6.
根据权利要求2或3所述的方法,其特征在于,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于预先搜集的已知宏脚本进行恶意宏脚本识别,则检测所述预先搜集的已知宏脚本中是否存在目标宏脚本;其中,所述目标宏脚本与所述可疑宏脚本的相似度大于预设阈值;若存在所述目标宏脚本,且所述目标宏脚本为已知恶意宏脚本,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若存在所述目标宏脚本,且所述目标宏脚本为已知非恶意宏脚本,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果
。7.
根据权利要求1所述的方法,其特征在于,确定所述恶意宏脚本的处置策略,包括:确定所述恶意宏脚本识别结果得到的所述恶意宏脚本的行为特征;基于所述行为特征确定所述恶意宏脚本的处置策略
。8.
根据权利要求7所述的方法,其特征在于,基于所述行为特征确定所述恶意宏脚本的处置策略,包括:检测第一策略库中是否存在与所述行为特征匹配的处置策略;其中,所述第一策略库中预先存储有至少一种行为特征对应的处置策略;若存在,则将匹配的处置策略确定为所述恶意宏脚本的处置策略;若不存在,则将所述恶意宏脚本以及所述行为特征发送至用户终端,以供用户基于所述恶意宏脚本以及所述行为特征通过所述用户终端设置所述恶意宏脚本的处置策略
。9.
根据权利要求7所述的方法,其特征在于...
【专利技术属性】
技术研发人员:骆振源,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。