技術領域

本發明涉及網絡安全技術領域，具體為一種office文檔文件的惡意代碼檢測方法及系統。

背景技術

惡意office文檔文件通常包括兩種情況，一方面為惡意宏，另一方面為具有溢出行為的惡意office文件。

宏病毒是一個古老而又風靡一時的病毒，它不像普通病毒可以感染EXE文件，宏病毒可以感染office文檔文件，有跨平臺能力，并且感染宏病毒的文檔很危險，其破壞程度完全取決于病毒作者的想象力。宏病毒在上個世紀90年代的時候比較流行，在后來相當長一段時間內銷聲匿跡，慢慢淡出了"安全圈"。近兩年，宏病毒再次出現，配合釣魚郵件、社工手段等方式又有卷土重來的氣勢。

有溢出行為的文檔通常是伴隨office“漏洞”而生，通過利用漏洞可以讓word文件悄悄的在后臺其他PE文件，近兩年備受關注的“APT”高級威脅通常也是通過潛伏在利用漏洞的office文檔中，再配合魚叉式釣魚郵件傳播的，因此溢出文檔的威脅能力可以想見。所以Office文檔格式的威脅根據不同情況、不同樣本、不同方法可以轉換成各種高風險威脅。

近兩年office文檔文件病毒居高不下，由于常見的可執行文件會備受各種防護系統、殺毒軟件所關注，而采取文檔文件內置病毒的方法可以掩人耳目獲得更高效的感染目的。例如近兩年流行的勒索者病毒、powershell病毒均可內置office文檔文件中感染用戶系統。

發明內容

為了克服現有技術方案的不足,本發明提供一種office文檔文件的惡意代碼檢測方法，通過結合沙箱判斷、靜態特征匹配、進程鏈判斷等多種技術手段，最終有效識別溢出類文檔文件和宏病毒類文檔文件，最終有效防止惡意office文檔文件進入用戶系統執行惡意行為。

本發明解決其技術問題所采用的技術方案是：一種office文檔文件的惡意代碼檢測方法，包括如下步驟：

(S10)將待檢測文檔文件投入虛擬沙箱執行，并監控是否存在異常行為，若存在則判定待檢測文檔文件為疑似溢出文檔文件，并進行進一步檢測；

(S20)提取待檢測文檔文件的宏代碼，將所述宏代碼與惡意宏代碼特征庫匹配，若匹配成功則判定待檢測文檔文件為宏病毒文檔文件，否則運行所述宏代碼，并監控是否存在聯網行為，若存在則進行進一步檢測。

作為本發明一種優選的技術方案，所述步驟(S10)中將待檢測文檔文件投入虛擬沙箱后，是通過運行各流行版本的office軟件來監控是否存在異常行為。

作為本發明一種優選的技術方案，所述步驟(S10)中監控是否存在異常行為包括：

是否存在可疑EXE進程鏈，若存在則提取相關EXE文件進行進一步檢測；

是否存在聯網行為，若存在則判斷聯網行為所涉及網絡與白名單是否匹配，若匹配則判定為正常文件，否則提取相關EXE文件進行進一步檢測。

作為本發明一種優選的技術方案，提取相關EXE文件進行進一步檢測的方法具體為：將EXE文件與文件白名單匹配，若匹配成功則判定為正常文件，否則按照已有策略對所述EXE文件進行惡意代碼檢測。

作為本發明一種優選的技術方案，所述聯網行為存在的話，其進一步檢測的方法包括：

若聯網行為所涉及網路有活性，則下載可執行代碼到本地，并進一步判斷所述可執行代碼是否惡意；

若聯網行為所涉及網絡已失活，則將所涉及網絡與網絡白名單匹配，若匹配失敗則報警并判定為疑似宏病毒文檔文件。

另外本發明還設計了一種office文檔文件的惡意代碼檢測系統，包括：

溢出文件檢測模塊，用于將待檢測文檔文件投入虛擬沙箱執行，并監控是否存在異常行為，若存在則判定待檢測文檔文件為疑似溢出文檔文件，并進行進一步檢測；

宏病毒檢測模塊，用于提取待檢測文檔文件的宏代碼，將所述宏代碼與惡意宏代碼特征庫匹配，若匹配成功則判定待檢測文檔文件為宏病毒文檔文件，否則運行所述宏代碼，并監控是否存在聯網行為，若存在則進行進一步檢測。