一种文件宏病毒的检测方法和装置制造方法及图纸

本发明专利技术实施例提供了一种文件宏病毒的检测方法和装置，其中的方法具体包括：将待检测文件的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；依据匹配结果判别所述待检测文件是否感染宏病毒。本发明专利技术实施例能够提高对文件宏病毒的检测能力。

【技术实现步骤摘要】
一种文件宏病毒的检测方法和装置
本专利技术实施例涉及计算机安全
，特别是涉及一种文件宏病毒的检测方法和装置。
技术介绍
宏语言是一类编程语言，其全部或多数计算是由扩展宏完成的。宏语言在文本处理程序中应用普遍，主要用来扩展文本处理程序的功能，例如，MicrosoftOffice可采用宏语言实现对表格进行动态计算、设计交互窗口等宏功能。但是，病毒制作者也有可能利用宏语言功能强大、开发简单的优点，将其用于开发宏病毒。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。由于宏病毒藏于数据文件内，且其使用的脚本语法灵活多变，完成一个功能有很多种写法，故识别一个文件是否有宏病毒非常困难。现有的反病毒软件所采用的反病毒方法几乎都是依赖于病毒特征码。由于计算机病毒通常都具有各自的身份等特征，当一种计算机病毒出现后，首先找到该病毒具有的特征，依据该特征对该特征所表征的病毒进行搜寻和处理；即现有技术对于已知宏病毒有一定的检测能力。但是，由于宏病毒感染、发作在先，反毒在后；而宏语言是一种脚本，稍作修改即可产生变种，甚至可以传播过程中修改自身，每传播一次就变化一次；故现有技术很难跟上宏病毒变化的速度，对未知宏病毒基本无检测能力，反病毒效果较差。总之，需要本领域技术人员迫切解决的一个技术问题就是：如何能够提高对未知宏病毒的检测能力。
技术实现思路
本专利技术实施例所要解决的技术问题是提供一种文件宏病毒的检测方法和装置，能够提高对文件宏病毒的检测能力。为了解决上述问题，本专利技术实施例公开了一种文件宏病毒的检测方法，包括：将待检测文件的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；依据匹配结果判别所述待检测文件是否感染宏病毒。优选的，所述将待检测文件的宏代码与行为代码库中的行为代码进行匹配的步骤，进一步包括：在所述待检测文件的宏代码中存在匹配成功的行为代码时得到匹配成功的匹配结果，以及，在所述待检测文件的宏代码中不存在匹配成功的行为代码时，得到匹配失败的匹配结果；则所述依据匹配结果判别所述待检测文件是否感染宏病毒的步骤，进一步包括：在所述匹配结果为匹配失败时，判别所述待检测文件未感染宏病毒；在所述匹配结果为匹配成功时，依据所述待检测文件的宏代码中匹配成功的行为代码，判别所述待检测文件是否感染宏病毒。优选的，所述依据所述待检测文件的宏代码中匹配成功的行为代码，判别所述待检测文件是否感染宏病毒的步骤，进一步包括：判断所述待检测文件的宏代码中匹配成功的行为代码是否符合预设的危险性条件，若是，则判别所述待检测文件感染宏病毒，否则，判别所述待检测文件未感染宏病毒。优选的，所述预设的危险性条件包括如下条件中的一项或多项：所述待检测文件的宏代码中匹配成功的行为代码的危险系数超过预设的危险系数阈值；所述待检测文件的宏代码中匹配成功的行为代码的危险等级超过预设的危险等级；待检测文件的宏代码中匹配成功的行为代码出现了预设的单个行为代码，或者，出现了预设的行为代码组合。优选的，本专利技术实施例通过如下步骤构造所述行为代码库：收集实现固定的宏病毒行为所需的行为代码；将所述行为代码保存至行为代码库。优选的，所述收集实现固定的宏病毒行为所需的行为代码的步骤，进一步包括：收集宏病毒样本；依据宏代码的语法，对所述宏病毒样本的宏代码进行语义分析，从中提取相应的实现固定的宏病毒行为所需的行为代码。优选的，所述行为代码包括函数名、函数变量名或者函数语句。优选的，所述方法还包括：针对待检测Excel文件的工作表，若其自定义名称中存在Excel保留名称，则判别所述待检测Excel文件感染宏病毒。另一方面，本专利技术实施例还公开了一种文件宏病毒的检测装置，包括：匹配模块，用于将待检测文件的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；及判别模块，用于依据匹配结果判别所述待检测文件是否感染宏病毒。优选的，所述匹配模块进一步包括：匹配成功子模块，用于在所述待检测文件的宏代码中存在匹配成功的行为代码时得到匹配成功的匹配结果；以及匹配失败子模块，用于在所述待检测文件的宏代码中不存在匹配成功的行为代码时，得到匹配失败的匹配结果；则所述判别模块进一步包括：第一判别子模块，用于在所述匹配结果为匹配失败时，判别所述待检测文件未感染宏病毒；第二判别子模块，用于在所述匹配结果为匹配成功时，依据所述待检测文件的宏代码中匹配成功的行为代码，判别所述待检测文件是否感染宏病毒。优选的，所述第二判别子模块进一步包括：判断单元，用于判断所述待检测文件的宏代码中匹配成功的行为代码是否符合预设的危险性条件，若是，则判别所述待检测文件感染宏病毒，否则，判别所述待检测文件未感染宏病毒。优选的，所述预设的危险性条件包括如下条件中的一项或多项：所述待检测文件的宏代码中匹配成功的行为代码的危险系数超过预设的危险系数阈值；所述待检测文件的宏代码中匹配成功的行为代码的危险等级超过预设的危险等级；待检测文件的宏代码中匹配成功的行为代码出现了预设的单个行为代码，或者，出现了预设的行为代码组合。优选的，所述装置还包括：用于构造所述行为代码库的构造模块，所述构造模块包括：收集子模块，用于收集实现固定的宏病毒行为所需的行为代码；保存子模块，用于将所述行为代码保存至行为代码库。优选的，所述收集子模块进一步包括：样本收集单元，用于收集宏病毒样本；分析提取单元，用于依据宏代码的语法，对所述宏病毒样本的宏代码进行语义分析，从中提取相应的实现固定的宏病毒行为所需的行为代码。优选的，所述行为代码包括函数名、函数变量名或者函数语句。优选的，所述装置还包括：工作表检测模块，用于针对待检测Excel文件的工作表，若其自定义名称中存在Excel保留名称，则判别所述待检测Excel文件感染宏病毒。与现有技术相比，本专利技术实施例具有以下优点：相对于现有技术依赖于已知宏病毒的特征码进行文件宏病毒的检测，本专利技术实施例基于“实现固定的宏病毒行为所需的行为代码是相对固定的”这一规律进行文件宏病毒的检测，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；由于无论已知宏病毒还是未知宏病毒都会遵循该规律，故无论宏病毒如何变化及变化的速度如何，这一规律都是不变的，故本专利技术实施例将待检测文件的宏代码与行为代码库中的行为代码进行匹配，能够对未知宏病毒具备一定的检测能力，因此能够提高未知宏病毒的检测能力，且具备较好的反病毒效果。附图说明图1是本专利技术实施例一种文件宏病毒的检测方法实施例的流程图；图2是本专利技术实施例一种文件宏病毒的检测装置实施例的结构图。具体实施方式为使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本专利技术实施例作进一步详细的说明。现有技术依赖宏病毒的特征码进行宏病毒的检测，对于已知宏病毒有一定的检测能力；但是，由于宏病毒感染、发作在先，反毒在后；而宏语言是一种脚本，稍作修改即可产生变种，甚至可以传播过程中修本文档来自技高网...

【技术保护点】
一种文件宏病毒的检测方法，其特征在于，包括：将待检测文件的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；依据匹配结果判别所述待检测文件是否感染宏病毒。

【技术特征摘要】
1.一种文件宏病毒的检测方法，其特征在于，包括：将待检测文件的宏代码与行为代码库中的行为代码进行匹配；其中，所述行为代码用于表示实现固定的宏病毒行为所需的宏代码；依据匹配结果判别所述待检测文件是否感染宏病毒；其中，所述依据匹配结果判别所述待检测文件是否感染宏病毒的步骤，进一步包括：在所述匹配结果为匹配成功时，依据所述待检测文件的宏代码中匹配成功的行为代码，判别所述待检测文件是否感染宏病毒；所述依据所述待检测文件的宏代码中匹配成功的行为代码，判别所述待检测文件是否感染宏病毒的步骤，进一步包括：判断所述待检测文件的宏代码中匹配成功的行为代码是否符合预设的危险性条件，若是，则判别所述待检测文件感染宏病毒，否则，判别所述待检测文件未感染宏病毒；所述预设的危险性条件包括如下条件中的一项或多项：所述待检测文件的宏代码中匹配成功的行为代码的危险系数超过预设的危险系数阈值；所述危险系数阈值为根据宏病毒检出率或宏病毒误杀率的指标得到的阈值；所述待检测文件的宏代码中匹配成功的行为代码的危险等级超过预设的危险等级；待检测文件的宏代码中匹配成功的行为代码出现了预设的单个行为代码，或者，出现了预设的行为代码组合。2.如权利要求1所述的方法，其特征在于，所述将待检测文件的宏代码与行为代码库中的行为代码进行匹配的步骤，进一步包括：在所述待检测文件的宏代码中存在匹配成功的行为代码时得到匹配成功的匹配结果，以及，在所述待检测文件的宏代码中不存在匹配成功的行为代码时，得到匹配失败的匹配结果；则所述依据匹配结果判别所述待检测文件是否感染宏病毒的步骤，还包括：在所述匹配结果为匹配失败时，判别所述待检测文件未感染宏病毒。3.如权利要求1或2所述的方法，其特征在于，通过如下步骤构造所述行为代码库：收集实现固定的宏病毒行为所需的行为代码；将所述行为代码保存至行为代码库。4.如权利要求3所述的方法，其特征在于，所述收集实现固定的宏病毒行为所需的行为代码的步骤，进一步包括：收集宏病毒样本；依据宏代码的语法，对所述宏病毒样本的宏代码进行语义分析，从中提取相应的实现固定的宏病毒行为所需的行为代码。5.如权利要求1或2所述的方法，其特征在于，所述行为代码包括函数名、函数变量...

【专利技术属性】
技术研发人员：禹建文，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：