[发明专利]恶意Word文档检测方法和装置

权利要求书

1.一种恶意Word文档检测方法，其特征在于，包括：

提取待检测的Word文档中的可疑代码及负载；

根据预先构建的恶意文档代码特征库对所述待检测的Word文档中的可疑代码及负载进行扫描和模式匹配，获取所述待检测的Word文档的特征向量；

将所述待检测的Word文档的特征向量输入至恶意文档分类模型中，获取所述恶意文档分类模型输出的分类结果；

根据所述分类结果和所述待检测的Word文档的特征向量，生成所述待检测的Word文档的检测报告；

其中，所述恶意文档分类模型是基于Word文档样本的特征向量和对应的分类标签进行训练获得的；

其中，所述提取待检测的Word文档中的可疑代码及负载的步骤，具体为：

利用文件头判断待检测的Word文档的类型，并利用与类型相对应的解析方法对所述待检测的Word文档进行解析；

根据解析结果提取所述待检测Word文档中的可疑代码及负载；

其中，所述根据预先构建的恶意文档代码特征库对所述待检测的Word文档中的可疑代码及负载进行扫描和模式匹配的步骤之前，还包括：

构建所述恶意文档代码特征库；

其中，所述恶意文档代码特征库包括四个层次组成的多个特征，所述四个层次具体为：可疑关键字、编码方式、混淆方式和IOC；

其中，所述利用与类型相对应的解析方法对所述待检测的Word文档进行解析的步骤，具体为：

若判断获知所述待检测的Word文档为2003版本，则按照复合文档对所述待检测的Word文档进行解析，获得所有目录directory；或者，

若判断获知所述待检测的Word文档为2007或2007以后的版本，则按照Open XML文档结构对所述待检测的Word文档进行解析，获得解压后的文件；

其中，所述根据解析结果提取所述待检测Word文档中的可疑代码及负载的步骤，具体为：

若所述待检测的Word文档为2003版本，则查看所述所有目录directory是否为数据流stream，若是，则处理数据流提取有效代码，并判断是否存在目录directory的名字为\x01Ole10Native，若存在，则按照OLE文件格式还原该目录directory对应的数据流；或者，

若所述待检测的Word文档为2007版本或2007版本以后的版本，则提取所述待检测的Word文档中的宏代码和可疑的XML文件，并扫描所述解压后的文件，保存OLE格式文件。

2.根据权利要求1所述的方法，其特征在于，训练所述恶意文档分类模型的步骤，具体为：

获取大量恶意Word文档和正常Word文档，并为获取的每个Word文档打标签，构建Word文档样本库；

提取所述Word文档样本库中每个Word文档样本的可疑代码及负载，并根据所述恶意文档代码特征库对所述每个Word文档样本的可疑代码及负载进行扫描和模式匹配，获取所述每个Word文档样本的特征向量；

将所述每个Word文档样本的特征向量及对应的标签输入机器学习模型中进行训练，保存训练结束时所述机器学习模型的参数，获得恶意文档分类模型。