本發(fā)明提出了一種基于屬性域異常調(diào)用的惡意文檔檢測(cè)方法、裝置及系統(tǒng)，所述方法包括：提取文檔內(nèi)嵌腳本文件，并對(duì)內(nèi)嵌腳本進(jìn)行歸一化處理；提取文檔屬性域信息；預(yù)處理腳本文件，解析內(nèi)嵌腳本文件，獲取讀取屬性域信息的代碼；將提取的文檔屬性域信息嵌入到內(nèi)嵌腳本文件讀取屬性域信息的代碼的相應(yīng)位置；對(duì)預(yù)處理后的腳本文件進(jìn)行檢測(cè)，輸出檢測(cè)結(jié)果。本發(fā)明還同時(shí)提出相應(yīng)裝置、系統(tǒng)及存儲(chǔ)介質(zhì)，通過本發(fā)明的方法，能夠?qū)⑽臋n屬性域中的信息還原到內(nèi)嵌腳本中，可有效對(duì)基于屬性異常調(diào)用的文檔類攻擊進(jìn)行檢測(cè)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于屬性域異常調(diào)用的惡意文檔檢測(cè)方法、裝置及系統(tǒng)。

背景技術(shù)

傳統(tǒng)的文檔類惡意程序，通常包含惡意腳本程序，例如VBA等，惡意程序通過觸發(fā)系統(tǒng)漏洞執(zhí)行惡意腳本實(shí)現(xiàn)攻擊。而新型的文檔類惡意程序，則通過屬性域的異常調(diào)用來實(shí)現(xiàn)攻擊，屬性域異常調(diào)用是指，將一些惡意行為的執(zhí)行所必須的信息，放置到文檔的屬性字段，然后通過文檔內(nèi)嵌的非惡意的宏或者腳本讀取屬性域中的信息并執(zhí)行，完成惡意攻擊。由于傳統(tǒng)的檢測(cè)方法，通常是基于文檔中的腳本或者宏進(jìn)行檢測(cè)，所以對(duì)于新型的文檔類惡意程序無法實(shí)現(xiàn)有效的檢測(cè)。

發(fā)明內(nèi)容

基于上述問題，本申請(qǐng)?zhí)岢隽艘环N基于屬性域異常調(diào)用的惡意文檔檢測(cè)方法、裝置及系統(tǒng)，通過將文檔屬性域信息還原到內(nèi)嵌腳本中，進(jìn)行惡意行為的檢測(cè)，實(shí)現(xiàn)對(duì)新型文檔的檢測(cè)。

首先，本申請(qǐng)?zhí)岢鲆环N基于屬性域異常調(diào)用的惡意文檔檢測(cè)方法，包括：

提取文檔內(nèi)嵌腳本文件，并對(duì)內(nèi)嵌腳本進(jìn)行歸一化處理；

提取文檔屬性域信息，并分別標(biāo)記屬性域原有信息及附加信息；

預(yù)處理腳本文件，解析內(nèi)嵌腳本文件，獲取讀取屬性域信息的代碼；將提取的文檔屬性域附加信息嵌入到內(nèi)嵌腳本文件讀取屬性域信息的代碼的相應(yīng)位置；

對(duì)預(yù)處理后的腳本文件進(jìn)行檢測(cè)，輸出檢測(cè)結(jié)果。

所述的方法中，所述的提取文檔內(nèi)嵌腳本文件，具體為：解析文檔結(jié)構(gòu)，確認(rèn)文檔是否內(nèi)嵌腳本，如果是，則提取內(nèi)嵌腳本。

所述的方法中，所述對(duì)內(nèi)嵌腳本進(jìn)行歸一化處理，具體為：解碼內(nèi)嵌腳本文件，拼接多個(gè)內(nèi)嵌腳本，并統(tǒng)一內(nèi)嵌腳本格式。

所述的方法中，所述對(duì)預(yù)處理后的腳本文件進(jìn)行檢測(cè)，具體為：對(duì)預(yù)處理后的腳本文件進(jìn)行靜態(tài)特征或啟發(fā)式檢測(cè)。

相應(yīng)的，本發(fā)明提出一種基于屬性域異常調(diào)用的惡意文檔檢測(cè)裝置，包括：存儲(chǔ)器和處理器；

所述存儲(chǔ)器可存儲(chǔ)在處理器上運(yùn)行計(jì)算機(jī)程序；

所述處理器在運(yùn)行計(jì)算機(jī)程序時(shí)，實(shí)現(xiàn)如下步驟：

提取文檔內(nèi)嵌腳本文件，并對(duì)內(nèi)嵌腳本進(jìn)行歸一化處理；

提取文檔屬性域信息，并分別標(biāo)記屬性域原有信息及附加信息；

預(yù)處理腳本文件，解析內(nèi)嵌腳本文件，獲取讀取屬性域信息的代碼；將提取的文檔屬性域附加信息嵌入到內(nèi)嵌腳本文件讀取屬性域信息的代碼的相應(yīng)位置；

對(duì)預(yù)處理后的腳本文件進(jìn)行檢測(cè)，輸出檢測(cè)結(jié)果。

所述的裝置中，所述的提取文檔內(nèi)嵌腳本文件，具體為：解析文檔結(jié)構(gòu)，確認(rèn)文檔是否內(nèi)嵌腳本，如果是，則提取內(nèi)嵌腳本。

所述的裝置中，所述對(duì)內(nèi)嵌腳本進(jìn)行歸一化處理，具體為：解碼內(nèi)嵌腳本文件，拼接多個(gè)內(nèi)嵌腳本，并統(tǒng)一內(nèi)嵌腳本格式。

所述的裝置中，所述對(duì)預(yù)處理后的腳本文件進(jìn)行檢測(cè)，具體為：對(duì)預(yù)處理后的腳本文件進(jìn)行靜態(tài)特征或啟發(fā)式檢測(cè)。

本發(fā)明還提出一種基于屬性域異常調(diào)用的惡意文檔檢測(cè)系統(tǒng)，包括：