本發明提供一種惡意文檔檢測方法及系統、電子設備及存儲介質，包括：對目標文檔進行反混淆處理，得到所述目標文檔的反混淆數據；在所述反混淆數據中查找是否存在預設特征串；若存在預設特征串，則確定所述目標文檔中存在惡意執行代碼。本發明針對惡意文檔中存在的shellcode代碼不能太長的特點，混淆變換也就無法實現太復雜的運算，因此運用該發明技術的入侵檢測系統可應對不斷變化表現形式的惡意文檔，能夠檢測出經過混淆變化的未知惡意文檔，從而解決行業所面臨的網絡安全威脅問題，避免出現未知惡意文檔給用戶帶來的威脅。

技術領域

本發明涉及信息安全技術領域，特別涉及一種惡意文檔檢測方法及系統、電子設備及存儲介質。

背景技術

在高強度的網絡安全對抗中,髙級持續性威脅攻擊(APT攻擊)巳經成為重要手段,其中惡意文檔比起一般可執行程序更容易受到信任,因此在攻擊中發揮了重要作用。

惡意文檔是指在正常的格式化文檔(如Office文檔、pdf文檔等)中嵌入了惡意功能，利用格式化文檔解析程序(如Microsoft Office、Adobe Acrobat Reader等軟件)的漏洞來實現惡意功能被執行的文檔。當用戶使用有漏洞的解析程序打開惡意文檔時，惡意功能就會被執行,實現攻擊者的目的。惡意文檔根據文檔格式的不同,解析程序漏洞的不同，有很多變種,但是絕大多數都會利用shellcode作為載體來進行攻擊,對惡意文檔的檢測很大程度上可以依靠對文檔中shellcode的檢測來實現。

每種格式化文本文檔都有其自身的特點，根據文檔結構的不同,產生漏洞的方式也有所差異，但其觸發方式基本類似，可分為五個步驟：

(1)當用戶打開格式化的文檔時,文件格式解析程序會對文檔進行解析；

(2)在某處有漏洞的地方會因為數據異常而觸發漏洞；

(3)觸發漏洞的異常數據會被當做代碼執行,接管解析程序的執行流程,使程序跳轉到攻擊者構造的shellcode處；

(4)執行一系列指令后就會完成攻擊者想要的惡意行為,通常是釋放或者下載木馬病毒程序；

(5)最后一般還會生成并顯示一個正常的文本文檔內容,以達到欺騙用戶隱瞞攻擊行為的目的。

現有的惡意文檔檢測技術，主要基于shellcode特征庫，將待檢測目標與已知特征碼進行比較來判斷是否存在惡意代碼，相關的研究工作有很多。例如：

(1)基于NOP字段的檢測,如果待檢測目標中出現連續的NOP指令，超過閾值時則判斷shellcode存在；

(2)基于ROP攻擊的檢測，ROP攻擊是shellcode為了繞過DEP保護的手段，但仍有其自身的一些特點，如執行代碼在二進制短段之間的切換基于POP-JMP指令等，將這些特點作為shellcode的檢測手段；

(3)基于shellcode空間向量的檢測,將shellcode統計分析形成空間向量，與待檢測目標形成的向量計算夾角，對于超過一定閾值的判定為存在shellcode。

基于特征碼檢測的技術檢測速度快，但是由于檢測特征的局限性，檢測的漏報率與誤報率都比較高。

惡意文檔是指在正常的格式化文檔(如Office文檔、pdf文檔等)中嵌入了惡意功能，利用格式化文檔解析程序(如Microsoft Office、Adobe Acrobat Reader等軟件)的漏洞來實現惡意功能被執行的文檔。當用戶使用有漏洞的解析程序打開惡意文檔時，惡意功能就會被執行,實現攻擊者的目的。惡意文檔根據文檔格式的不同,解析程序漏洞的不同，有很多變種,但是絕大多數都會利用shellcode作為載體來進行攻擊,對惡意文檔的檢測很大程度上可以依靠對文檔中shellcode的檢測來實現。