[发明专利]恶意Word文档检测方法和装置

说明书

本发明实施例提供一种恶意Word文档检测方法和装置，所述方法包括：提取待检测的Word文档中的可疑代码及负载；根据恶意文档代码特征库对待检测的Word文档中的可疑代码及负载进行扫描和模式匹配，获取待检测的Word文档的特征向量；将所述待检测的Word文档的特征向量输入至恶意文档分类模型中，获取所述恶意文档分类模型输出的分类结果；根据所述分类结果和所述待检测的Word文档的特征向量，生成所述待检测的Word文档的检测报告。本发明实施例有针对性地提取Word文档中嵌入的恶意代码和恶意负载，可节省检测时间，且不受限于Word版本，对代码混淆攻击和未知类型的攻击也有很好的适应能力。

技术领域

本发明实施例涉及网络安全技术领域，更具体地，涉及一种恶意Word文档检测方法和装置。

背景技术

Office Word办公软件一直被人们广泛使用，大多数使用者都认为Word文档是安全的，通常不采取任何预防措施。然而，近几年来，Word文档攻击已经成为了不法分子利用最频繁的攻击方式之一，攻击者通常向受害者发送带有恶意Word的附件，并借用社会工程手段诱导其点击附件，用户一旦打开附件，恶意文档中嵌入的恶意代码便会开始自动执行，给政府、企业和个人造成了无法估量的损失。

目前针对Word文档攻击形式主要有以下几种：基于恶意宏攻击、基于恶意负载攻击以及漏洞利用。现有的Word文档检测方法也基于围绕这几种攻击形式进行检测，例如，检测嵌入Word文档的宏代码或Shell代码；或者，通过提取恶意负载来区分恶意文档并确定利用的漏洞类型，仅能对后缀名为.doc的Word文档进行检测；或者，通过扫描分析整个文档的结构，并利用主动学习框架进行判定，仅能分析后缀名为.docx的Word文档。

上述各种现有的Word文档检测方法存在以下不足：检测的文档类型单一，检测不全面，检测耗时较长，没有对攻击行为进行分析，无法检测出新型攻击，且漏报率和误报率较高。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的恶意Word文档检测方法和装置。

第一方面，本发明实施例提供一种恶意Word文档检测方法，包括：

提取待检测的Word文档中的可疑代码及负载；

根据预先构建的恶意文档代码特征库对所述待检测的Word文档中的可疑代码及负载进行扫描和模式匹配，获取所述待检测的Word文档的特征向量；

将所述待检测的Word文档的特征向量输入至恶意文档分类模型中，获取所述恶意文档分类模型输出的分类结果；

根据所述分类结果和所述待检测的Word文档的特征向量，生成所述待检测的Word文档的检测报告；

其中，所述恶意文档分类模型是基于Word文档样本的特征向量和对应的分类标签进行训练获得的。

第二方面，本发明实施例提供一种恶意Word文档检测装置，包括：

代码提取模块，用于提取待检测的Word文档中的可疑代码及负载；

特征获取模块，用于根据预先构建的恶意文档代码特征库对所述待检测的Word文档中的可疑代码及负载进行扫描和模式匹配，获取所述待检测的Word文档的特征向量；

分类模块，用于将所述待检测的Word文档的特征向量输入至恶意文档分类模型中，获取所述恶意文档分类模型输出的分类结果；

输出模块，用于根据所述分类结果和所述待检测的Word文档的特征向量，生成所述待检测的Word文档的检测报告；

其中，所述恶意文档分类模型是基于Word文档样本的特征向量和对应的分类标签进行训练获得的。