本技術(shù)涉及信息安全領(lǐng)域以及網(wǎng)絡(luò)安全領(lǐng)域，具體而言，涉及一種文件檢測方法、裝置及計算機可讀存儲介質(zhì)。

背景技術(shù)：

1、釣魚文檔是與網(wǎng)絡(luò)欺詐或社會工程學(xué)相關(guān)的一種手法。在網(wǎng)絡(luò)安全領(lǐng)域，“釣魚”通常指的是通過偽裝成可信任的來源，誘騙受害者提供敏感信息(如用戶名、密碼、銀行賬戶詳情等)的行為。而“釣魚文檔”則特指在這一過程中使用的虛假文檔，如電子郵件附件、下載鏈接中的文件，這些文檔被設(shè)計得看起來像正常、無害的文件(如發(fā)票、報表、合同或者軟件更新通知)，實則可能含有惡意軟件或者引導(dǎo)用戶訪問假冒網(wǎng)站輸入個人信息。

2、宏命令(簡稱為宏)是一種編程功能，允許用戶通過簡單的步驟自動完成一系列復(fù)雜的操作。在辦公軟件中，宏命令可以用來自動化重復(fù)性任務(wù)，比如格式化文本、執(zhí)行計算、數(shù)據(jù)整理等。宏命令本質(zhì)上是由編程指令組成的腳本，這些指令告訴軟件如何執(zhí)行特定的任務(wù)序列。

3、然而，宏命令的功能也使其成為惡意軟件傳播的一個途徑。黑客可以制作包含惡意代碼的宏命令，當(dāng)用戶在不知情的情況下啟用這些宏命令時，惡意代碼就會被執(zhí)行，從而可能下載并安裝病毒、木馬、勒索軟件等惡意程序到用戶的電腦上。

4、目前，現(xiàn)有技術(shù)基本上都是基于靜態(tài)特征識別基于宏命令的釣魚文檔，但是，靜態(tài)特征存在被繞過的風(fēng)險，從而影響釣魚文檔的檢出準(zhǔn)確率，另外，現(xiàn)有技術(shù)使用靜態(tài)特征識別基于宏命令的釣魚文檔還存在較大的誤警報幾率。

5、針對上述的問題，目前尚未提出有效的解決方案。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供了一種文件檢測方法、裝置及計算機可讀存儲介質(zhì)，以至少解決現(xiàn)有技術(shù)中對于使用宏命令進(jìn)行惡意攻擊行為的釣魚文件檢測準(zhǔn)確率較低的技術(shù)問題。

2、根據(jù)本技術(shù)的一個方面，提供了一種文件檢測方法，包括：獲取操作系統(tǒng)中針對宏命令的啟用行為信息，其中，所述啟用行為信息至少包括第一注冊表的修改信息和/或第二注冊表的修改信息，所述第一注冊表用于配置所述宏命令的啟用方式，所述第二注冊表用于記錄被允許執(zhí)行所述宏命令的文件；在檢測到目標(biāo)文件為啟用所述宏命令的文件的情況下，獲取所述目標(biāo)文件的文件行為信息，其中，所述文件行為信息用于表征與所述目標(biāo)文件相關(guān)的進(jìn)程行為信息和/或操作行為信息；根據(jù)所述啟用行為信息和所述目標(biāo)文件的文件行為信息確定所述目標(biāo)文件是否為異常文件。

3、可選地，根據(jù)所述啟用行為信息和所述目標(biāo)文件的文件行為信息確定所述目標(biāo)文件是否為異常文件，包括：在所述啟用行為信息表征所述第一注冊表被修改為第一表狀態(tài)的情況下，檢測用于修改所述第一注冊表的進(jìn)程是否為目標(biāo)進(jìn)程，其中，所述第一表狀態(tài)的第一注冊表被配置為所有具備執(zhí)行宏命令功能的文件能夠無條件執(zhí)行任意的宏命令，所述目標(biāo)進(jìn)程為被默認(rèn)為允許修改所述第一注冊表的進(jìn)程；在檢測到用于修改所述第一注冊表的進(jìn)程為所述目標(biāo)進(jìn)程的情況下，根據(jù)所述文件行為信息確定所述目標(biāo)文件是否為所述異常文件；在檢測到用于修改所述第一注冊表的進(jìn)程不是所述目標(biāo)進(jìn)程的情況下，生成預(yù)警信息，其中，所述預(yù)警信息至少包括所述第一注冊表的路徑信息和用于修改所述第一注冊表的進(jìn)程的名稱。

4、可選地，在檢測到用于修改所述第一注冊表的進(jìn)程不是所述目標(biāo)進(jìn)程的情況下，生成預(yù)警信息之后，所述文件檢測方法還包括：將所述第一注冊表修改為第二表狀態(tài)，其中，所述第二表狀態(tài)的第一注冊表被配置為所有具備執(zhí)行宏命令功能的文件需要在滿足限制條件的情況下運行所述宏命令。

5、可選地，在檢測到用于修改所述第一注冊表的進(jìn)程為所述目標(biāo)進(jìn)程的情況下，根據(jù)所述文件行為信息確定所述目標(biāo)文件是否為所述異常文件，包括：根據(jù)所述文件行為信息檢測在第一時間段內(nèi)是否生成了第一通知事件，其中，所述第一通知事件用于表征生成了目標(biāo)類型的文件，所述目標(biāo)類型為所述目標(biāo)文件的文件類型，所述第一時間段為所述第一注冊表被修改為所述第一表狀態(tài)的時間段；在檢測到所述第一時間段內(nèi)生成了所述第一通知事件的情況下，檢測所述第一通知事件生成之后的預(yù)設(shè)時間段內(nèi)是否啟動了所述目標(biāo)進(jìn)程；在檢測到所述第一通知事件生成之后的預(yù)設(shè)時間段內(nèi)啟動了所述目標(biāo)進(jìn)程的情況下，檢測所述目標(biāo)進(jìn)程的進(jìn)程命令行信息中是否包括創(chuàng)建的目標(biāo)類型的文件的路徑信息；在檢測到所述目標(biāo)進(jìn)程的進(jìn)程命令行信息中包括創(chuàng)建的目標(biāo)類型的文件的路徑信息的情況下，判斷在所述目標(biāo)進(jìn)程啟動之后是否生成了異常行為事件，其中，所述異常行為事件表征與執(zhí)行惡意代碼相關(guān)的行為事件；根據(jù)是否生成所述異常行為事件的判斷結(jié)果，確定所述目標(biāo)文件是否為所述異常文件。

6、可選地，所述文件檢測方法還包括：在存在以下任意一種檢測結(jié)果的情況下，確定所述目標(biāo)文件為所述異常文件：第一檢測結(jié)果，用于表征檢測到在所述第一時間段內(nèi)未生成所述第一通知事件；第二檢測結(jié)果，用于表征檢測到在所述第一通知事件生成之后的預(yù)設(shè)時間段內(nèi)未啟動所述目標(biāo)進(jìn)程；第三檢測結(jié)果，用于表征檢測到所述目標(biāo)進(jìn)程的進(jìn)程命令行信息中不包括創(chuàng)建的目標(biāo)類型的文件的路徑信息。

7、可選地，根據(jù)所述啟用行為信息和所述文件行為信息確定所述目標(biāo)文件是否為異常文件，包括：在所述啟用行為信息表征所述第二注冊表被修改為第三表狀態(tài)的情況下，檢測用于修改所述第二注冊表的進(jìn)程是否為目標(biāo)進(jìn)程，其中，所述第三表狀態(tài)的第二注冊表被配置為所述目標(biāo)文件能夠無條件執(zhí)行任意的宏命令；在檢測到用于修改所述第二注冊表的進(jìn)程為所述目標(biāo)進(jìn)程的情況下，根據(jù)所述文件行為信息確定所述目標(biāo)文件是否為所述異常文件；在檢測到用于修改所述第二注冊表的進(jìn)程不是所述目標(biāo)進(jìn)程的情況下，確定所述目標(biāo)文件為所述異常文件。

8、可選地，在檢測到用于修改所述第二注冊表的進(jìn)程為所述目標(biāo)進(jìn)程的情況下，根據(jù)所述文件行為信息確定所述目標(biāo)文件是否為所述異常文件，包括：在檢測到用于修改所述第二注冊表的進(jìn)程為所述目標(biāo)進(jìn)程的情況下，根據(jù)所述文件行為信息檢測在第二時間段內(nèi)是否生成了第一通知事件，其中，所述第一通知事件用于表征生成了目標(biāo)類型的文件，所述目標(biāo)類型為所述目標(biāo)文件的文件類型，所述第二時間段為在所述第二注冊表被修改為所述第三表狀態(tài)之前的一個時間段；在檢測到所述第二時間段內(nèi)生成了所述第一通知事件的情況下，檢測所述第一通知事件中包括的文件路徑與依據(jù)所述第二注冊表獲取的所述目標(biāo)文件的文件路徑是否相同；在檢測到所述第一通知事件中包括的文件路徑與依據(jù)所述第二注冊表獲取的所述目標(biāo)文件的文件路徑相同的情況下，判斷在所述目標(biāo)進(jìn)程啟動之后是否生成了異常行為事件，其中，所述異常行為事件表征與執(zhí)行惡意代碼相關(guān)的行為事件；根據(jù)是否生成所述異常行為事件的判斷結(jié)果，確定所述目標(biāo)文件是否為所述異常文件。

9、可選地，所述文件檢測方法還包括：在存在以下任意一種檢測結(jié)果的情況下，確定所述目標(biāo)文件為所述異常文件：第四檢測結(jié)果，用于表征檢測到在所述第二時間段內(nèi)未生成所述第一通知事件；第五檢測結(jié)果，用于表征檢測到所述第一通知事件中包括的文件路徑與依據(jù)所述第二注冊表獲取的所述目標(biāo)文件的文件路徑不同。

10、根據(jù)本技術(shù)的另一方面，還提供了一種文件檢測裝置，包括：第一獲取單元，用于獲取操作系統(tǒng)中針對宏命令的啟用行為信息，其中，所述啟用行為信息至少包括第一注冊表的修改信息和/或第二注冊表的修改信息，所述第一注冊表用于配置所述宏命令的啟用方式，所述第二注冊表用于記錄被允許執(zhí)行所述宏命令的文件；第二獲取單元，用于在檢測到目標(biāo)文件為啟用所述宏命令的文件的情況下，獲取所述目標(biāo)文件的文件行為信息，其中，所述文件行為信息用于表征與所述目標(biāo)文件相關(guān)的進(jìn)程行為信息和/或操作行為信息；確定單元，用于根據(jù)所述啟用行為信息和所述目標(biāo)文件的文件行為信息確定所述目標(biāo)文件是否為異常文件。

11、根據(jù)本技術(shù)的另一方面，還提供了一種計算機可讀存儲介質(zhì)，其中，所述計算機可讀存儲介質(zhì)中存儲有計算機程序，其中，在所述計算機程序運行時，使得所述計算機可讀存儲介質(zhì)所在設(shè)備執(zhí)行上述任意一項所述的文件檢測方法。

12、在本技術(shù)，獲取操作系統(tǒng)中針對宏命令的啟用行為信息，其中，所述啟用行為信息至少包括第一注冊表的修改信息和/或第二注冊表的修改信息，所述第一注冊表用于配置所述宏命令的啟用方式，所述第二注冊表用于記錄被允許執(zhí)行所述宏命令的文件。其次，在檢測到目標(biāo)文件為啟用所述宏命令的文件的情況下，獲取所述目標(biāo)文件的文件行為信息，其中，所述文件行為信息用于表征與所述目標(biāo)文件相關(guān)的進(jìn)程行為信息和/或操作行為信息。最后，根據(jù)所述啟用行為信息和所述目標(biāo)文件的文件行為信息確定所述目標(biāo)文件是否為異常文件。

13、由上述內(nèi)容可知，本技術(shù)提出了一種通過監(jiān)控宏命令的啟用行為信息，以識別釣魚文檔(對應(yīng)上述的異常文件)的方法。本技術(shù)通過監(jiān)控第一注冊表的修改信息和第二注冊表的修改信息，可以獲取宏命令的啟動方式的配置變化信息以及目標(biāo)文件執(zhí)行宏命令的信任記錄的變化信息，從而可以識別提前啟用宏或者臨時啟用宏的行為，同時，依據(jù)本技術(shù)的技術(shù)方案，還會獲取目標(biāo)文件相關(guān)的進(jìn)程行為信息和/或操作行為信息，最終結(jié)合宏命令的啟用行為和目標(biāo)文件的文件行為綜合確定目標(biāo)文件是否為釣魚文檔。

14、由此可見，與現(xiàn)有技術(shù)不同，本技術(shù)的方案是根據(jù)宏命令的啟用行為和目標(biāo)文件的文件行為等動態(tài)特征信息確定目標(biāo)文件是否為異常文件，因此，使用本技術(shù)的技術(shù)方案，攻擊者想要繞開文件檢測的難度將大大增加，這是因為與靜態(tài)特征不同，由于動態(tài)特征是變化的，因此攻擊者很難提前預(yù)知防御者使用的是哪一種動態(tài)特征。而且，由于本技術(shù)是將宏命令的啟用行為與文件的執(zhí)行行為進(jìn)行關(guān)聯(lián)，因此可以讓檢出結(jié)果更加精準(zhǔn)，舉證信息更加全面(包括兩個行為維度)，從而不僅可以大幅降低誤報幾率，還解決了現(xiàn)有技術(shù)中對于使用宏命令進(jìn)行惡意攻擊行為的釣魚文件檢測準(zhǔn)確率較低的技術(shù)問題。