[发明专利]一种office文档文件的恶意代码检测方法及系统在审
| 申请号: | 201710175347.3 | 申请日: | 2017-03-22 |
| 公开(公告)号: | CN107025407A | 公开(公告)日: | 2017-08-08 |
| 发明(设计)人: | 李海灵;邹潇湘;高昕;侯美佳;何跃鹰;卓子寒;刘中金;方喆君 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/53 |
| 代理公司: | 北京国坤专利代理事务所(普通合伙)11491 | 代理人: | 姜彦 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 office 文档 文件 恶意代码 检测 方法 系统 | ||
1.一种office文档文件的恶意代码检测方法,其特征在于:包括如下步骤:
(S10)将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;
(S20)提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。
2.根据权利要求1所述的一种office文档文件的恶意代码检测方法,其特征在于:所述步骤(S10)中将待检测文档文件投入虚拟沙箱后,是通过运行各流行版本的office软件来监控是否存在异常行为。
3.根据权利要求1所述的一种office文档文件的恶意代码检测方法,其特征在于:所述步骤(S10)中监控是否存在异常行为包括:
是否存在可疑EXE进程链,若存在则提取相关EXE文件进行进一步检测;
是否存在联网行为,若存在则判断联网行为所涉及网络与白名单是否匹配,若匹配则判定为正常文件,否则提取相关EXE文件进行进一步检测。
4.根据权利要求3所述的一种office文档文件的恶意代码检测方法,其特征在于:提取相关EXE文件进行进一步检测的方法具体为:将EXE文件与文件白名单匹配,若匹配成功则判定为正常文件,否则按照已有策略对所述EXE文件进行恶意代码检测。
5.根据权利要求3所述的一种新型救生锤,其特征在于,所述联网行为存在的话,其进一步检测的方法包括:
若联网行为所涉及网路有活性,则下载可执行代码到本地,并进一步判断所述可执行代码是否恶意;
若联网行为所涉及网络已失活,则将所涉及网络与网络白名单匹配,若匹配失败则报警并判定为疑似宏病毒文档文件。
6.一种office文档文件的恶意代码检测系统,其特征在于,包括:
溢出文件检测模块,用于将待检测文档文件投入虚拟沙箱执行,并监控是否存在异常行为,若存在则判定待检测文档文件为疑似溢出文档文件,并进行进一步检测;
宏病毒检测模块,用于提取待检测文档文件的宏代码,将所述宏代码与恶意宏代码特征库匹配,若匹配成功则判定待检测文档文件为宏病毒文档文件,否则运行所述宏代码,并监控是否存在联网行为,若存在则进行进一步检测。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710175347.3/1.html,转载请声明来源钻瓜专利网。
