[发明专利]一种宏程序的混淆检测方法、装置、电子设备和存储介质

说明书

本申请实施例提出了一种宏程序的混淆检测方法、装置、电子设备和计算机存储介质，该方法包括：对待检测的宏程序的关键词进行提取，得到恶意关键词和正常关键词；分别使用第一标识和第二标识对所述恶意关键词和所述正常关键词进行替换，得到替换后的宏程序；将所述替换后的宏程序转换成目标图片，输入至预先训练的检测模型进行检测，得到检测结果。本申请实施例可以快速确定待检测的宏程序是否经过混淆技术处理，提升检测效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种宏程序的混淆检测方法、装置、电子设备和计算机存储介质。

背景技术

Office类型文件被广泛应用于企事业单位的日常办公活动中，而宏程序作为Office类型文件的重要功能扩展，亦被频繁使用。其中，以Office类型文件的宏程序为宿主的宏病毒，掺杂在日常办公涉及的正常文件中间，由于具有较好的隐蔽性和较高的攻击成功率，因而，经常被黑客在网络攻击中大量运用。

宏病毒为了躲避杀毒软件的查杀，通常采用混淆技术；可见，宏病毒检测的重要挑战是如何对抗混淆技术；混淆技术是一种程序转换的技术，它能够保留恶意程序的恶意行为，同时修改程序的外观，使得杀毒软件无法辨认，增加网络安全风险；特别地，以钓鱼邮件附加混淆宏病毒为形式的攻击，已经成为攻击方的主要攻击方式。因而，为了提高网络的安全性，需要一种能够有效检测宏程序是否经过混淆技术处理的方法。

发明内容

本申请提供一种宏程序的混淆检测方法、装置、电子设备和计算机存储介质。

本申请的技术方案是这样实现的：

本申请实施例提供了一种宏程序的混淆检测方法，所述方法包括：

对待检测的宏程序的关键词进行提取，得到恶意关键词和正常关键词；

分别使用第一标识和第二标识对所述恶意关键词和所述正常关键词进行替换，得到替换后的宏程序；

将所述替换后的宏程序转换成目标图片，输入至预先训练的检测模型进行检测，得到检测结果。

在一些实施例中，所述第一标识和所述第二标识的颜色、形状和个数中至少一项存在区别。

在一些实施例中，所述检测结果用于指示所述待检测的宏程序为正常宏程序或混淆宏程序。

在一些实施例中，所述待检测的宏程序包括VBA程序。

在一些实施例中，所述对待检测的宏程序的关键词进行提取，包括：

使用词频-逆文本频率指数词频-逆文本频率指数(Term Frequency-InverseDocument Frequency，TF-IDF)算法对所述待检测的宏程序的关键词进行提取。

在一些实施例中，所述对待检测的宏程序的关键词进行提取，包括：

在确定所述待检测的宏程序的长度小于或等于设定长度的情况下，对所述待检测的宏程序的关键词进行提取。

在一些实施例中，所述使用第一标识对所述恶意关键词进行替换，包括：

基于不同恶意程度的恶意关键词，使用不同的第一标识对所述恶意关键词进行替换。

在一些实施例中，所述检测模型是根据第一训练数据集训练得到的；所述第一训练数据集包括：宏程序样本和所述宏程序样本的标签信息。

本申请实施例提供了一种检测模型的训练方法，所述方法包括：

获取第一训练数据集；所述第一训练数据集包括：宏程序样本和所述宏程序样本的标签信息；

对每个宏程序样本的关键词进行提取，得到所述每个宏程序样本的恶意关键词和正常关键词；