[发明专利]一种office文档文件的恶意代码检测方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体为一种office文档文件的恶意代码检测方法及系统。

背景技术

恶意office文档文件通常包括两种情况，一方面为恶意宏，另一方面为具有溢出行为的恶意office文件。

宏病毒是一个古老而又风靡一时的病毒，它不像普通病毒可以感染EXE文件，宏病毒可以感染office文档文件，有跨平台能力，并且感染宏病毒的文档很危险，其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行，在后来相当长一段时间内销声匿迹，慢慢淡出了"安全圈"。近两年，宏病毒再次出现，配合钓鱼邮件、社工手段等方式又有卷土重来的气势。

有溢出行为的文档通常是伴随office“漏洞”而生，通过利用漏洞可以让word文件悄悄的在后台其他PE文件，近两年备受关注的“APT”高级威胁通常也是通过潜伏在利用漏洞的office文档中，再配合鱼叉式钓鱼邮件传播的，因此溢出文档的威胁能力可以想见。所以Office文档格式的威胁根据不同情况、不同样本、不同方法可以转换成各种高风险威胁。

近两年office文档文件病毒居高不下，由于常见的可执行文件会备受各种防护系统、杀毒软件所关注，而采取文档文件内置病毒的方法可以掩人耳目获得更高效的感染目的。例如近两年流行的勒索者病毒、powershell病毒均可内置office文档文件中感染用户系统。

发明内容

为了克服现有技术方案的不足,本发明提供一种office文档文件的恶意代码检测方法，通过结合沙箱判断、静态特征匹配、进程链判断等多种技术手段，最终有效识别溢出类文档文件和宏病毒类文档文件，最终有效防止恶意office文档文件进入用户系统执行恶意行为。

本发明解决其技术问题所采用的技术方案是：一种office文档文件的恶意代码检测方法，包括如下步骤：

(S10)将待检测文档文件投入虚拟沙箱执行，并监控是否存在异常行为，若存在则判定待检测文档文件为疑似溢出文档文件，并进行进一步检测；

(S20)提取待检测文档文件的宏代码，将所述宏代码与恶意宏代码特征库匹配，若匹配成功则判定待检测文档文件为宏病毒文档文件，否则运行所述宏代码，并监控是否存在联网行为，若存在则进行进一步检测。

作为本发明一种优选的技术方案，所述步骤(S10)中将待检测文档文件投入虚拟沙箱后，是通过运行各流行版本的office软件来监控是否存在异常行为。

作为本发明一种优选的技术方案，所述步骤(S10)中监控是否存在异常行为包括：

是否存在可疑EXE进程链，若存在则提取相关EXE文件进行进一步检测；

是否存在联网行为，若存在则判断联网行为所涉及网络与白名单是否匹配，若匹配则判定为正常文件，否则提取相关EXE文件进行进一步检测。

作为本发明一种优选的技术方案，提取相关EXE文件进行进一步检测的方法具体为：将EXE文件与文件白名单匹配，若匹配成功则判定为正常文件，否则按照已有策略对所述EXE文件进行恶意代码检测。

作为本发明一种优选的技术方案，所述联网行为存在的话，其进一步检测的方法包括：

若联网行为所涉及网路有活性，则下载可执行代码到本地，并进一步判断所述可执行代码是否恶意；

若联网行为所涉及网络已失活，则将所涉及网络与网络白名单匹配，若匹配失败则报警并判定为疑似宏病毒文档文件。

另外本发明还设计了一种office文档文件的恶意代码检测系统，包括：

溢出文件检测模块，用于将待检测文档文件投入虚拟沙箱执行，并监控是否存在异常行为，若存在则判定待检测文档文件为疑似溢出文档文件，并进行进一步检测；

宏病毒检测模块，用于提取待检测文档文件的宏代码，将所述宏代码与恶意宏代码特征库匹配，若匹配成功则判定待检测文档文件为宏病毒文档文件，否则运行所述宏代码，并监控是否存在联网行为，若存在则进行进一步检测。