一種識別文檔代碼的方法和裝置制造方法及圖紙

本申請提出一種識別文檔代碼的方法和裝置，涉及文檔惡意代碼分析領域，所述方法包括：對目標文檔滿足預設格式字節位置進行定位；對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；對所述執行結果進行特征提取，獲得特征提取結果；根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。可以結合文件結構分析及惡意特征打分機制，快速定位代碼，并且效果良好。

Method and device for identifying document code

The invention provides a method and a device for identifying code document, the document related malicious code analysis, the method includes: to meet the preset target document format byte position location; the format meets the preset byte start point to the end position of simulated CPU CPU instruction execution, execution of the obtained results; to perform feature extraction results are obtained according to the results of feature extraction; feature extraction results, whether the identification of the target document contains malicious code. You can combine file structure analysis and malicious feature scoring mechanism to quickly locate the code and achieve good results.

【技術實現步驟摘要】
一種識別文檔代碼的方法和裝置
本專利技術涉及文檔惡意代碼分析領域，具體涉及一種識別文檔代碼的方法和裝置。
技術介紹
基于文檔型漏洞的惡意代碼是入侵者通過各種方式將具有漏洞的文檔先植入到用戶計算機中，再引導用戶進行打開操作，這樣通過已設置好的漏洞利用代碼shellcode進行惡意代碼的釋放或者下載。而這些惡意代碼往往經過了入侵者的層層反信息安全產品操作：加殼、反虛擬機、免殺、驅動保護、條件執行等等各種保護。最重要的問題在于入侵者往往針對要入侵的用戶或網絡十分了解，目的性是竊取特定用戶的信息，且進行長期潛伏，所以入侵者還會針對用戶的固定信息安全產品進行單獨的研究與免殺、繞過技術等處置，所以針對文檔型漏洞的惡意代碼查殺檢測率幾乎為零。目前，信息安全廠商針對文檔型漏洞的自動化惡意文檔識別方案，主要采用虛擬機沙盒分析的方法，其中，沙盒主要是指一個模擬的或者真實的操作系統環境，或者文件執行環境，這種方法首先要保證沙盒中存在文檔能夠正確執行的相關應用程序，相關技術對某些檢測沙箱環境的惡意文檔無法分析。一般主要用于概念性驗證。
技術實現思路
本專利技術提供一種識別文檔代碼的方法和裝置，解決了惡意文件的自動化分析的問題。為了實現上述專利技術目的，本專利技術采取的技術方案如下：一種識別文檔代碼的方法，包括：對目標文檔滿足預設格式字節位置進行定位；對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；對所述執行結果進行特征提取，獲得特征提取結果；根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。可選地，所述對目標文檔的滿足預設格式字節位置進行定位，包括：對所述目標文檔進行格式化解析，識別出所述目標文檔的格式；根據識別出的所述目標文檔的格式，在所述目標文檔對應的位置進行惡意代碼定位。可選地，對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行包括:從所述滿足預設格式字節的起始位置開始，每次調整偏移量，逐次進行模擬CPU指令執行，獲得執行結果，直到所述滿足預設格式字節的結束位置。可選地，對所述執行結果進行特征提取，獲得特征提取結果包括：逐一比較從所述執行結果提取出的特征是否符合預設的惡意代碼特征，如果符合，則記錄所述特征。可選地，根據所述特征提取結果給出分析結論包括：對特征提取獲得的每個特征提取結果按照預設標準進行評分，根據特征提取獲得的所有特征提取結果的評分結果與預設閾值進行比較，獲得所述目標文檔的滿足預設格式字節是否為惡意代碼的分析結論。本專利技術實施例還提供一種識別文檔惡意代碼的裝置，包括：定位模塊，設置為對目標文檔的滿足預設格式字節位置進行定位；指令模塊，設置為對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；特征提取模塊，設置為對所述執行結果進行特征提取，獲得特征提取結果；分析模塊，設置為根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。可選地，所述定位模塊包括：格式識別模塊，設置為對所述目標文檔進行格式化解析，識別出所述目標文檔的格式；根據所述格式識別模塊識別出的所述目標文檔的格式，在所述目標文檔對應的位置進行惡意代碼定位。可選地，所述指令模塊對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行是指:從所述滿足預設格式字節的起始位置開始，每次調整偏移量，逐次進行模擬CPU指令執行，獲得執行結果，直到所述滿足預設格式字節的結束位置。可選地，所述特征提取模塊對所述執行結果進行特征提取，獲得特征提取結果是指：逐一比較從所述執行結果提取出的特征是否符合預設的惡意代碼特征，如果符合，則記錄所述特征。可選地，所述分析模塊根據所述特征提取結果給出分析結論是指：對特征提取獲得的每個特征提取結果按照預設標準進行評分，根據特征提取獲得的所有特征提取結果的評分結果與預設閾值進行比較，獲得所述目標文檔的滿足預設格式字節是否為惡意代碼的分析結論。本專利技術實施例還提供一種識別文檔惡意代碼的裝置，包括存儲器和處理器，所述存儲器用于存儲用于識別文檔惡意代碼的程序；所述用于識別文檔惡意代碼的程序在被所述處理器讀取執行時，執行如下操作：對所述目標文檔的滿足預設格式字節位置進行定位；對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；對所述執行結果進行特征提取，獲得特征提取結果；根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。本專利技術和現有技術相比，具有如下有益效果：本專利技術能夠解決相關技術的惡意文檔識別方法受限于環境的問題，可以分析任意x86平臺的惡意文檔，不受限于針對沙箱環境的檢測。可以結合文件結構分析及惡意特征打分機制，快速定位代碼，并且效果良好。附圖說明圖1為本專利技術實施例的識別文檔代碼的方法的流程圖；圖2為本專利技術實施例的識別文檔代碼的裝置的結構示意圖；圖3為本專利技術實施例1的識別文檔代碼的任務的流程圖。具體實施方式為使本專利技術的專利技術目的、技術方案和有益效果更加清楚明了，下面結合附圖對本專利技術的實施例進行說明，需要說明的是，在不沖突的情況下，本申請中的實施例和實施例中的特征可以相互任意組合。如圖1所示，本專利技術實施例提供一種識別文檔代碼的方法，包括：S101、對所述目標文檔滿足預設格式字節位置進行定位；S102、對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；S103、對所述執行結果進行特征提取，獲得特征提取結果。S104、根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。本專利技術實施例的方法通過快速掃描文檔中的字節，進行文件結構分析，定位可能產生惡意代碼的位置，然后利用CPU指令執行的方式，把相關字節當成可執行指令執行。其中，本專利技術實施例中滿足預設格式字節為包含漏洞的字節或者可能包含惡意代碼的字節，如果能夠執行，并且符合預定惡意特征，結束這一識別過程，否則跳過當前分析字節，繼續分析。本專利技術實施例中進行中央處理器CPU指令執行分析指的是虛擬CPU執行指令。本專利技術實施例的方法與相關技術中沙盒識別技術相比，能夠在x86平臺上通過模擬CPU指令，然后提取指令執行結果，成本更小，而且在不需要額外設備，效率高，不易被惡意代碼發現從而繞過。本專利技術實施例中，在所述方法之前可以包括：S100、對目標文檔進行格式化解析，識別出所述目標文檔的格式。其中，步驟S100對目標文檔進行格式化解析，識別出所述目標文檔的格式包括:利用預設模板識別所述目標文檔的格式。本專利技術實施例中針對目標文檔的格式識別，如果所述目標文檔的格式無法識別，將所述目標文檔標記為陌生文檔。由于目前各類文檔有自己的文件格式定義，如微軟office系列、ADOBEPDF文件、ADOBEFLASH文件等，這些文件的格式是固定的，惡意代碼一般保存在某個節或者某個字段中。本專利技術實施例利用預設的模塊對已知文件格式進行分析，當識別出目標文檔的格式時，可以在對應的固定的位置進行惡意代碼定位，好處在于能夠提高分析效率。而對于那些未知的文件格式(標記為陌生文檔的目標文件)，需要從頭到尾進行掃描分析。S101對所述目標文檔的滿足預設格式字節位置進行定位包括:根據預設模板識別出的所述目標文檔的格式，在所述目標文檔對應的位置進行惡本文檔來自技高網...

【技術保護點】
一種識別文檔代碼的方法，其特征在于，包括：對目標文檔滿足預設格式字節位置進行定位；對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；對所述執行結果進行特征提取，獲得特征提取結果；根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。

【技術特征摘要】
1.一種識別文檔代碼的方法，其特征在于，包括：對目標文檔滿足預設格式字節位置進行定位；對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；對所述執行結果進行特征提取，獲得特征提取結果；根據所述特征提取結果，識別所述目標文檔是否包含惡意代碼。2.如權利要求1所述的方法，其特征在于，所述對目標文檔的滿足預設格式字節位置進行定位，包括：對所述目標文檔進行格式化解析，識別出所述目標文檔的格式；根據識別出的所述目標文檔的格式，在所述目標文檔對應的位置進行惡意代碼定位。3.如權利要求1所述的方法，其特征在于：對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行包括:從所述滿足預設格式字節的起始位置開始，每次調整偏移量，逐次進行模擬CPU指令執行，獲得執行結果，直到所述滿足預設格式字節的結束位置。4.如權利要求1所述的方法，其特征在于：對所述執行結果進行特征提取，獲得特征提取結果包括：逐一比較從所述執行結果提取出的特征是否符合預設的惡意代碼特征，如果符合，則記錄所述特征。5.如權利要求1所述的方法，其特征在于：根據所述特征提取結果給出分析結論包括：對特征提取獲得的每個特征提取結果按照預設標準進行評分，根據特征提取獲得的所有特征提取結果的評分結果與預設閾值進行比較，獲得所述目標文檔的滿足預設格式字節是否為惡意代碼的分析結論。6.一種識別文檔代碼的裝置，其特征在于，包括：定位模塊，設置為對目標文檔的滿足預設格式字節位置進行定位；指令模塊，設置為對所述滿足預設格式字節的起始位置至結束位置進行模擬中央處理器CPU指令執行，獲得執行結果；特征提取模塊，設置為對所述執行結果進行特征提取，獲得特...

【專利技術屬性】
技術研發人員：王龍，
申請(專利權)人：阿里巴巴集團控股有限公司，
類型：發明
國別省市：開曼群島,KY