本發明公開了一種VBA腳本混淆檢測方法、裝置、設備及可讀存儲介質，該方法包括以下步驟：對待進行檢測的Office文件進行解析，獲取VBA腳本；在各個指定維度上提取VBA腳本的特征信息；利用各個特征信息，生成特征向量組；將特征向量組輸入至分類器中進行分類處理，得到Office文件中是否具有混淆VBA腳本的檢測結果；其中，分類器為利用原始有標簽樣本和無標簽樣本迭代訓練獲得的。在本方法考慮到實際應用環境，并針對VBA語言精細化特征提取，能夠檢測出Office文件中是否具有混淆VBA腳本，能夠為進一步進行病毒檢測提供重要參考依據。

技術領域

本發明涉及計算機應用技術領域，特別是涉及一種VBA腳本混淆檢測方法、裝置、設備及可讀存儲介質。

背景技術

對于Office宏病毒，一般通過靜態掃描文件并匹配病毒的廣譜特征碼的方式查殺病毒。隨著反病毒軟件的發展，病毒文件也演進出代碼混淆這種逃逸技術，對抗和繞過反病毒軟件的查殺。由于混淆后的代碼c’在功能上和混淆前的代碼c相同，而反病毒軟件的病毒特征庫中能夠匹配c的廣譜特征碼無法匹配c’。因此，通過混淆能夠對抗傳統反病毒軟件。另外，Office文件中VBA腳本的混淆成本較低，因而非常流行。

因而識別Office文件中的VBA腳本是否為混淆代碼是準確判定該Office文件是否為病毒的重要環節。即，如何準確檢測出Office文件中的VBA腳本是否為混淆代碼等問題，是目前本領域技術人員急需解決的技術問題。

發明內容

本發明的目的是提供一種VBA腳本混淆檢測方法、裝置、設備及可讀存儲介質，準確檢測出Office文件中的VBA腳本是否為混淆代碼，為進一步判斷Office文件是否為病毒提供了重要依據。

為解決上述技術問題，本發明提供如下技術方案：

一種VBA混淆檢測方法，包括：

對待進行檢測的Office文件進行解析，獲取VBA腳本；

在各個指定維度上提取所述VBA腳本的特征信息；

利用各個所述特征信息，生成特征向量組；

將所述特征向量組輸入至分類器中進行分類處理，得到所述Office文件中是否具有混淆VBA腳本的檢測結果；

其中，所述分類器為利用原始有標簽樣本和無標簽樣本迭代訓練獲得的。

優選地，訓練所述分類器的過程，包括：

利用所述原始有標簽樣本訓練機器學習分類器，獲得初始分類器；

利用所述初始分類器確定所述無標簽樣本是否具有混淆VBA腳本；

如果是，則利用第一強規則分類器篩選出具有混淆VBA腳本的無標簽樣本，并添加混淆標簽，以獲得有混淆樣本；

如果否，則利用第二強規則分類器篩選出非混淆VBA腳本的無標簽樣本，并添加非混淆標簽，以獲得非混淆樣本；

利用所述非混淆樣本和所述混淆樣本對所述初始分類器進行下一輪迭代訓練，直到測試集對應的分類結果收斂后，結束訓練。

優選地，訓練所述分類器的過程，包括：

利用所述原始有標簽樣本訓練機器學習分類器，獲得初始分類器；

利用所述初始分類器對所述無標簽樣本是否具有混淆VBA腳本進行分類判斷，獲得第一分類結果；

利用強規則三分類器對所述無標簽樣本進行分類，獲得第二分類結果；

利用所述第二分類結果和所述第一分類結果對所述無標簽樣本添加標簽，以生成新的有標簽樣本；所述有標簽樣本包括有混淆樣本和非混淆樣本；