[发明专利]基于属性域异常调用的恶意文档检测方法、装置及系统

说明书

本发明提出了一种基于属性域异常调用的恶意文档检测方法、装置及系统，所述方法包括：提取文档内嵌脚本文件，并对内嵌脚本进行归一化处理；提取文档属性域信息；预处理脚本文件，解析内嵌脚本文件，获取读取属性域信息的代码；将提取的文档属性域信息嵌入到内嵌脚本文件读取属性域信息的代码的相应位置；对预处理后的脚本文件进行检测，输出检测结果。本发明还同时提出相应装置、系统及存储介质，通过本发明的方法，能够将文档属性域中的信息还原到内嵌脚本中，可有效对基于属性异常调用的文档类攻击进行检测。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于属性域异常调用的恶意文档检测方法、装置及系统。

背景技术

传统的文档类恶意程序，通常包含恶意脚本程序，例如VBA等，恶意程序通过触发系统漏洞执行恶意脚本实现攻击。而新型的文档类恶意程序，则通过属性域的异常调用来实现攻击，属性域异常调用是指，将一些恶意行为的执行所必须的信息，放置到文档的属性字段，然后通过文档内嵌的非恶意的宏或者脚本读取属性域中的信息并执行，完成恶意攻击。由于传统的检测方法，通常是基于文档中的脚本或者宏进行检测，所以对于新型的文档类恶意程序无法实现有效的检测。

发明内容

基于上述问题，本申请提出了一种基于属性域异常调用的恶意文档检测方法、装置及系统，通过将文档属性域信息还原到内嵌脚本中，进行恶意行为的检测，实现对新型文档的检测。

首先，本申请提出一种基于属性域异常调用的恶意文档检测方法，包括：

提取文档内嵌脚本文件，并对内嵌脚本进行归一化处理；

提取文档属性域信息，并分别标记属性域原有信息及附加信息；

预处理脚本文件，解析内嵌脚本文件，获取读取属性域信息的代码；将提取的文档属性域附加信息嵌入到内嵌脚本文件读取属性域信息的代码的相应位置；

对预处理后的脚本文件进行检测，输出检测结果。

所述的方法中，所述的提取文档内嵌脚本文件，具体为：解析文档结构，确认文档是否内嵌脚本，如果是，则提取内嵌脚本。

所述的方法中，所述对内嵌脚本进行归一化处理，具体为：解码内嵌脚本文件，拼接多个内嵌脚本，并统一内嵌脚本格式。

所述的方法中，所述对预处理后的脚本文件进行检测，具体为：对预处理后的脚本文件进行静态特征或启发式检测。

相应的，本发明提出一种基于属性域异常调用的恶意文档检测装置，包括：存储器和处理器；

所述存储器可存储在处理器上运行计算机程序；

所述处理器在运行计算机程序时，实现如下步骤：

提取文档内嵌脚本文件，并对内嵌脚本进行归一化处理；

提取文档属性域信息，并分别标记属性域原有信息及附加信息；

预处理脚本文件，解析内嵌脚本文件，获取读取属性域信息的代码；将提取的文档属性域附加信息嵌入到内嵌脚本文件读取属性域信息的代码的相应位置；

对预处理后的脚本文件进行检测，输出检测结果。

所述的装置中，所述的提取文档内嵌脚本文件，具体为：解析文档结构，确认文档是否内嵌脚本，如果是，则提取内嵌脚本。

所述的装置中，所述对内嵌脚本进行归一化处理，具体为：解码内嵌脚本文件，拼接多个内嵌脚本，并统一内嵌脚本格式。

所述的装置中，所述对预处理后的脚本文件进行检测，具体为：对预处理后的脚本文件进行静态特征或启发式检测。

本发明还提出一种基于属性域异常调用的恶意文档检测系统，包括：