本發(fā)明公布了一種基于貝葉斯網(wǎng)的惡意文檔檢測(cè)方法及系統(tǒng)，通過將文檔抽象為特征矩陣表示；采用貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)表示各種特征與是否為惡意文檔間的因果概率關(guān)系；利用貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)對(duì)文檔的特征矩陣進(jìn)行后驗(yàn)概率計(jì)算；從而有效判斷該文檔是否為惡意文檔。包括：確定模型基礎(chǔ)特征指標(biāo)、構(gòu)建貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)、根據(jù)貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)計(jì)算文檔為惡意文檔和正常文檔的后驗(yàn)概率。采用本發(fā)明技術(shù)方案，通過基于貝葉斯網(wǎng)采用靜態(tài)特征和動(dòng)態(tài)特征結(jié)合分析的方式檢測(cè)各種格式文檔，并有效提高檢測(cè)準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，尤其涉及一種基于貝葉斯網(wǎng)的惡意文檔檢測(cè)方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)信息化程度的進(jìn)一步提高，近年來(lái)高級(jí)持續(xù)性攻擊APT(AdvancedPersistent Threat)事件增多，給國(guó)家和企業(yè)安全和發(fā)展造成了嚴(yán)重威脅，同時(shí)也造成不可估量的經(jīng)濟(jì)損失。而APT攻擊中往往使用惡意文檔進(jìn)行單點(diǎn)突破，惡意文檔特指在網(wǎng)絡(luò)攻擊中特別是在APT攻擊中利用的文檔類漏洞利用工具植入惡意程序。惡意文檔根據(jù)文檔格式的不同，解析程序漏洞的不同變種有很多，絕大多數(shù)都會(huì)利用shellcode作為載體來(lái)進(jìn)行攻擊。

目前對(duì)于已知惡意文檔的檢測(cè)方法主要基于特征碼匹配，其基本思想是提取惡意文檔中能唯一標(biāo)識(shí)該惡意文檔的二進(jìn)制字符串作為特征碼，并將此特征碼添加到惡意文檔特征庫(kù)中，在惡意文檔檢測(cè)時(shí)，先提取待檢測(cè)文檔的特征字符串構(gòu)成的特征碼，然后通過對(duì)待檢測(cè)文檔在特征庫(kù)中進(jìn)行特征碼匹配，來(lái)判斷該文檔是否為惡意文檔。這種方法能快速、準(zhǔn)確檢測(cè)已知惡意文檔，但是對(duì)未知惡意文檔無(wú)法識(shí)別。

發(fā)明內(nèi)容

為了克服上述現(xiàn)有技術(shù)的不足，本發(fā)明提供一種基于貝葉斯網(wǎng)的惡意文檔檢測(cè)方法及裝置，可檢測(cè)各種格式文檔，并基于貝葉斯網(wǎng)采用靜態(tài)特征和動(dòng)態(tài)特征結(jié)合分析的方式有效提高檢測(cè)準(zhǔn)確率。

本發(fā)明提供的技術(shù)方案是：一種基于貝葉斯網(wǎng)的惡意文檔檢測(cè)方法和裝置。其中，基于貝葉斯網(wǎng)的惡意文檔檢測(cè)方法通過將文檔抽象為特征矩陣表示，最大程度保留文檔能用于進(jìn)行惡意檢測(cè)的相關(guān)信息，剔除無(wú)用冗余信息，并通過貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)表示各種特征與是否為惡意文檔間的因果概率關(guān)系，進(jìn)一步利用貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)文檔的特征矩陣進(jìn)行后驗(yàn)概率計(jì)算，從而有效判斷該文檔是否為惡意文檔；主要包括：確定模型基礎(chǔ)特征指標(biāo)階段、構(gòu)建貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)階段、根據(jù)貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)計(jì)算文檔為惡意文檔和為正常文檔的后驗(yàn)概率階段；其中：

確定模型基礎(chǔ)特征指標(biāo)階段執(zhí)行如下步驟：

步驟1，確定惡意文檔的靜態(tài)特征，即分析惡意文檔的可執(zhí)行代碼中經(jīng)常出現(xiàn)的特殊字符串、特殊函數(shù)、特殊關(guān)鍵字等潛在惡意特征；

步驟2，確定惡意文檔的動(dòng)態(tài)特征，動(dòng)態(tài)特征為文檔執(zhí)行過程中的行為特點(diǎn)，包括但不限于觸發(fā)的相關(guān)網(wǎng)絡(luò)行為、觸發(fā)的相關(guān)文件行為、觸發(fā)的相關(guān)內(nèi)存行為、觸發(fā)的相關(guān)線程行為、觸發(fā)的相關(guān)進(jìn)程行為、觸發(fā)的相關(guān)注冊(cè)表行為、觸發(fā)的相關(guān)系統(tǒng)行為等；

構(gòu)建貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)階段具體執(zhí)行如下步驟：

步驟3，根據(jù)步驟1和步驟2中得到的惡意文檔靜態(tài)和動(dòng)態(tài)特征構(gòu)造貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)，所述貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)的節(jié)點(diǎn)由文檔的動(dòng)態(tài)特征和靜態(tài)特征組成；

步驟4，收集正常文檔和惡意文檔數(shù)據(jù)對(duì)貝葉斯網(wǎng)絡(luò)進(jìn)行參數(shù)學(xué)習(xí)，獲得各個(gè)特征節(jié)點(diǎn)的條件概率，將貝葉網(wǎng)絡(luò)結(jié)構(gòu)與各特征節(jié)點(diǎn)的條件概率組合成為惡意文檔檢測(cè)貝葉斯網(wǎng)絡(luò)模型；

根據(jù)貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)計(jì)算文檔為惡意文檔和為正常文檔的后驗(yàn)概率階段具體執(zhí)行如下步驟：

步驟5，獲取文檔中可執(zhí)行代碼的方式為對(duì)文檔代碼進(jìn)行逐字節(jié)查找，以獲取文檔中的可執(zhí)行代碼；

步驟6，根據(jù)步驟1提取的文檔靜態(tài)特征，及步驟5中獲取的可執(zhí)行代碼，分析文檔中可執(zhí)行代碼的方式統(tǒng)計(jì)靜態(tài)特征相關(guān)信息，將文檔表示成靜態(tài)特征矩陣；