【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种宏文件安全检测方法及系统。
技术介绍
1、随着电子文档的普及应用,电子文档带来的安全风险日益严峻,网络攻击者可以通过在电子文档中加入宏代码展开攻击。攻击者可以采用宏代码混淆的方式降低被杀毒软件发现的机率,通过各种方法对宏代码进行隐写、加密、编码等操作,代码混淆技术使恶意宏代码更难被检测和分析,从而增加了攻击者进行恶意活动的机会。代码混淆使得恶意宏更难以被防病毒软件和安全工具检测到,并且难以被分析人员理解和逆向工程。混淆的安全风险在于,混淆的宏代码可能包含恶意功能、木马程序或其他潜在的威胁,给用户设备和数据安全带来风险。与此同时,vba stomping是一种通过修改office文档中的vba宏代码来隐藏恶意代码的技术。它通过修改vba(visual basic forapplications,是visual basic的一种宏语言)代码的字节码或操作码,使代码在解析和执行过程中绕过安全检测,并且在用户打开文档时悄然执行恶意活动。vba stomping攻击利用了office应用程序在解析和执行vba宏时的漏洞和不完善之处。vba stomping的安全风险在于,通过隐藏恶意代码,攻击者可以在用户不知情的情况下执行恶意活动,例如窃取敏感信息、感染系统、远程控制等,给用户设备和数据带来潜在的威胁。
2、在实现本专利技术过程中,专利技术人发现现有技术中至少存在如下问题:
3、现有的宏文件安全检测技术,多以人工检测为主,无法同时针对多种形式的宏安全问题进行自动化检测,且并未考虑
技术实现思路
1、本专利技术实施例提供一种宏文件安全检测方法及系统,用以实现对宏文件的多种安全问题的同步自动化检测、提高对宏代码的安全检测能力。
2、为达上述目的,一方面,本专利技术实施例提供一种宏文件安全检测方法,包括:获取待检测宏文件中的目标宏代码;在检测到所述目标宏代码经过代码混淆的情况下,将所述目标宏代码判定为混淆宏代码,并将所述混淆宏代码还原为原始宏代码,否则,将所述目标宏代码判定为原始宏代码;;基于所述原始宏代码和预先设定的关键字集合,对所述待检测宏文件进行安全检测。
3、另一方面,本专利技术实施例提供一种宏文件安全检测系统,包括:宏代码获取模块,用于获取待检测宏文件中的目标宏代码;代码混淆检测及处理还原模块,用于在检测到所述目标宏代码经过代码混淆的情况下,将所述目标宏代码判定为混淆宏代码,并将所述混淆宏代码还原为原始宏代码,否则,将所述目标宏代码判定为原始宏代码;安全检测模块,用于基于所述原始宏代码和预先设定的关键字集合,对所述待检测宏文件进行安全检测。
4、同时,本专利技术实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的宏文件安全检测方法。
5、此外,本专利技术实施例还提供一种计算机设备,其包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现前述的宏文件安全检测方法。
6、上述技术方案具有如下有益效果:
7、本技术方案能够对不同的宏文件和p-code进行解析、并通过预先设定的映射规则将p-code转换成原始vba代码,之后通过关键字匹配技术对原始vba代码进行安全检测,可以分别对宏代码中可能存在的恶意行为、外部联网行为、以及被vba stomping混淆等安全风险进行检测。同时,本技术方案中,还可以有效识别原始vba代码是否经过代码混淆,并对经过代码混淆的原始vba代码进行解密还原,以保证安全检测的准确性。
本文档来自技高网...【技术保护点】
1.一种宏文件安全检测方法,其特征在于,包括:
2.如权利要求1所述的宏文件安全检测方法,其特征在于,所述获取待检测宏文件中的目标宏代码,包括:
3.如权利要求2所述的宏文件安全检测方法,其特征在于,所述通过反编译获取所述待检测宏文件中的宏代码作为所述目标宏代码,包括:
4.如权利要求3所述宏文件安全检测方法,其特征在于,所述从所述P-code中提取操作码,包括:
5.如权利要求4所述宏文件安全检测方法,其特征在于,所述根据所述操作码确定出可转换操作码,包括:
6.如权利要求3所述的宏文件安全检测方法,其特征在于,所述基于所述原始宏代码和预先设定的关键字集合,对所述待检测宏文件进行安全检测,包括:
7.如权利要求6所述的宏文件安全检测方法,其特征在于,所述关键字集合包括:恶意行为关键字集合、网络连接行为关键字集合、必要宏指令关键字集合;
8.如权利要求7所述宏文件安全检测方法,其特征在于,还包括:
9.如权利要求1所述宏文件安全检测方法,其特征在于,所述将所述混淆宏代码还原为原始宏代码
10.一种宏文件安全检测系统,其特征在于,包括:
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-9中任意一项所述的宏文件安全检测方法。
12.一种计算机设备,其特征在于,其包括:
...【技术特征摘要】
1.一种宏文件安全检测方法,其特征在于,包括:
2.如权利要求1所述的宏文件安全检测方法,其特征在于,所述获取待检测宏文件中的目标宏代码,包括:
3.如权利要求2所述的宏文件安全检测方法,其特征在于,所述通过反编译获取所述待检测宏文件中的宏代码作为所述目标宏代码,包括:
4.如权利要求3所述宏文件安全检测方法,其特征在于,所述从所述p-code中提取操作码,包括:
5.如权利要求4所述宏文件安全检测方法,其特征在于,所述根据所述操作码确定出可转换操作码,包括:
6.如权利要求3所述的宏文件安全检测方法,其特征在于,所述基于所述原始宏代码和预先设定的关键字集合,对所述待检测...
【专利技术属性】
技术研发人员:张天顺,高志宏,邱春武,康宇,
申请(专利权)人:新浪技术中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。