[发明专利]一种识别恶意文档的方法及装置

说明书

本发明提出一种识别恶意文档的方法，包括：对待识别文档进行解析得到待识别文档的文档异常信息、关键字信息和文档应用程序编程接口调用信息；分别根据文档异常信息提取得到待识别文档的异常特征、根据关键字信息提取得到待识别文档的结构特征、以及根据文档应用程序编程接口调用信息提取得到待识别文档的行为特征；将所述异常特征、结构特征和行为特征进行组合处理得到待识别文档的混合特征向量；将混合特征向量输入经过训练的恶意文档检测模型，识别待识别文档是否为恶意文档。上述恶意文档识别过程中，同时应用到文档的异常特征、结构特征和行为特征，特征信息更丰富更全面，因此对恶意文档的识别相对于单一特征的识别更准确。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种识别恶意文档的方法及装置。

背景技术

随着计算机以及互联网在我国的推广与发展，越来越多的行业依托互联网进行模式转变，并取得了巨大的效益。利用互联网进行文档共享与交互，往往能给工作带来巨大的便利，然而其交互过程中的安全问题也十分突出，尤其是当文档被攻击者嵌入恶意木马时，一旦文档被打开，则会面临敏感信息泄露等安全风险。因此，需要对文档的安全性进行检测，从而保证重要文档的安全可靠交换。

常用的对恶意文档的检测识别，通常基于文档的单一类型的特征而实现。例如，通过识别文档内嵌代码的异常信息及漏洞等静态异常特征识别恶意文档，或通过识别文档结构路径以及文档的解析结构等结构特征识别恶意文档等。上述基于单一类型特征的恶意文档识别方法的特征选取不够精细全面，很容易被恶意文档制作者规避，因此导致不能准确识别恶意文档，识别准确率较低。

发明内容

基于上述现有技术的缺陷和不足，本发明提出一种识别恶意文档的方法及装置，提取文档的多项特征，识别文档是否为恶意文档。

一种识别恶意文档的方法，包括：

对待识别文档进行解析得到所述待识别文档的文档异常信息、关键字信息和文档应用程序编程接口调用信息；

分别根据所述文档异常信息提取得到所述待识别文档的异常特征、根据所述关键字信息提取得到所述待识别文档的结构特征、以及根据所述文档应用程序编程接口调用信息提取得到所述待识别文档的行为特征；

将所述异常特征、结构特征和行为特征进行组合处理得到所述待识别文档的混合特征向量；

将所述混合特征向量输入经过训练的恶意文档检测模型，识别所述待识别文档是否为恶意文档。

可选的，所述根据所述文档异常信息提取得到所述待识别文档的异常特征，包括：

从所述文档异常信息中，提取与预设的文档异常特征相关的信息，得到所述待识别文档的异常特征；其中，所述预设的文档异常特征基于对恶意样本文档和正常样本文档进行特征统计而确定。

可选的，所述根据所述关键字信息提取得到所述待识别文档的结构特征，包括：

根据所述关键字信息，统计预设的特征关键字集合中的每个关键字在所述关键字信息中出现的次数，得到所述待识别文档的结构特征；其中，所述预设的特征关键字集合，是根据样本文档中的关键字在所述样本文档中出现的期望值对所述样本文档中的关键字进行聚类处理得到的，用于表征文档结构特征的关键字集合。

可选的，所述根据所述文档应用程序编程接口调用信息提取得到所述待识别文档的行为特征，包括：

根据所述文档应用程序编程接口调用信息，统计预设的特征应用程序编程接口调用函数集合中的每个应用程序编程接口调用函数被调用的次数，得到所述待识别文档的行为特征；其中，所述预设的特征应用程序编程接口调用函数集合，是根据样本文档中的各个应用程序编程接口调用函数的出现比率对所述样本文档中的各个应用程序编程接口调用函数进行聚类处理得到的，用于表征文档行为特征的应用程序编程接口调用函数集合。