1.一種基于貝葉斯網的惡意文檔檢測方法，通過將文檔抽象為特征矩陣表示；采用貝葉斯網絡結構表示各種特征與是否為惡意文檔間的因果概率關系；利用貝葉斯網絡結構對文檔的特征矩陣進行后驗概率計算；從而有效判斷該文檔是否為惡意文檔；包括：確定模型基礎特征指標階段、構建貝葉斯網絡結構階段、根據貝葉斯網絡結構計算文檔為惡意文檔和正常文檔的后驗概率階段；其中：

(一)確定模型基礎特征指標階段執行如下步驟1-2：

步驟1，確定惡意文檔的靜態特征，即通過分析得到惡意文檔的可執行代碼中經常出現的潛在惡意特征；

步驟2，確定惡意文檔的動態特征；動態特征為文檔執行過程中的行為特點，包括但不限于觸發的相關網絡行為、觸發的相關文件行為、觸發的相關內存行為、觸發的相關線程行為、觸發的相關進程行為、觸發的相關注冊表行為和 觸發的相關系統行為；

(二)構建貝葉斯網絡結構階段具體執行如下步驟3-4：

步驟3，根據步驟1得到的惡意文檔靜態特征和步驟2得到的惡意文檔動態特征，構造貝葉斯網絡結構；所述貝葉斯網絡結構為有向無環圖，節點為惡意文檔的動態特征和靜態特征，圖中的有向邊代表各個特征變量節點間的條件依賴；

步驟4，收集正常文檔和惡意文檔數據對貝葉斯網絡進行參數學習，獲得各個特征變量節點在惡意文檔前提下和在正常文檔前提下對于其所有前驅節點的條件概率，將貝葉網絡結構與各特征節點的條件概率表組合成為惡意文檔檢測貝葉斯網絡模型；

其中，通過式1求取惡意文檔前提下各節點的條件概率：

其中，P(x_i|Parents(x_i),y)代表特征節點x_i在惡意文檔前提下對于該特征的條件概率；Parents(x_i)為特征變量節點x_i的所有前驅節點；y表示該文檔為惡意文檔；為訓練樣本集中同時符合Parents(x_i)所代表的所有前驅特征且為惡意文檔的樣本數量；N_i為特征x_i的取值數量；為訓練樣本集中同時符合特征x_i、Parents(x_i)所代表的所有前驅特征且為惡意文檔的樣本數量；

通過式2求取正常文檔前提各個節點的條件概率：

其中，P(x_i|Parents(x_i),n)代表特征節點x_i在正常文檔前提下對于該特征的條件概率；n表示該文檔為正常文檔；為訓練樣本集中同時符合Parents(x_i)所代表的所有前驅特征且為正常文檔的樣本數量；為訓練樣本集中同時符合特征x_i、Parents(x_i)所代表的所有前驅特征且為正常文檔的樣本數量；

(三)根據貝葉斯網絡結構計算文檔為惡意文檔的后驗概率階段，具體執行如下步驟5-10：

步驟5，獲取文檔中可執行代碼；

步驟6，根據步驟1提取的文檔靜態特征、步驟5中獲取的可執行代碼，通過分析文檔中可執行代碼，統計靜態特征相關信息，將文檔表示成靜態特征矩陣；具體統計可執行代碼中包含的靜態特征的數目，生成的靜態特征矩陣表示為：[靜態特征1,靜態特征2，…,靜態特征n]＝[靜態特征1數目,靜態特征2數目，…,靜態特征n數目]；

步驟7，將文檔在虛擬沙箱中的運行，通過監控并采集該文檔在虛擬沙箱運行過程中產生的動態行為；

步驟8，根據步驟2提取的文檔動態特征、步驟7中獲取的動態行為數據，統計各個動態特征相關信息，將文檔表示成動態特征矩陣，生成動態特征矩陣；動態特征矩陣表示形式與步驟6生成的靜態特征矩陣表示形式相同；

步驟9，將動態特征矩陣和靜態特征矩陣合并為文檔特征矩陣，輸入文檔檢測貝葉斯網絡模型中計算該文檔為惡意文檔的后驗概率和為正常文檔的后驗概率；

其中，通過式3求取文檔為惡意文檔的后驗概率：

其中，P(y|x₁,x₂,…,x_n)為在文檔符合特征x₁,x₂,x₃,…,x_n的前提下為惡意文檔的概率；P(y)為一篇文檔為惡意文檔的概率；為待檢測文檔符合的所有特征的條件概率積，也即該文檔符合的所有特征的聯合條件概率；

其中，通過式4求取文檔為正常文檔的后驗概率：

其中P(n|x₁,x₂,…,x_n)為在文檔符合特征x₁,x₂,x₃,…,x_n的前提下為正常文檔的概率；P(n)為一篇文檔為正常文檔的概率；為待檢測文檔符合的所有特征的條件概率積，也即該文檔符合的所有特征的聯合條件概率；

步驟10，通過比較該文檔為惡意文檔或正常文檔的后驗概率大小，和/或比較該文檔為惡意文檔的后驗概率與后驗概率閾值的大小來將文檔識別為正常文檔和惡意文檔；

通過上述步驟實現基于貝葉斯網的惡意文檔檢測。