本發(fā)明涉及文檔惡意代碼分析領(lǐng)域，具體涉及一種識(shí)別文檔代碼的方法和裝置。

背景技術(shù)：

基于文檔型漏洞的惡意代碼是入侵者通過(guò)各種方式將具有漏洞的文檔先植入到用戶計(jì)算機(jī)中，再引導(dǎo)用戶進(jìn)行打開操作，這樣通過(guò)已設(shè)置好的漏洞利用代碼shellcode進(jìn)行惡意代碼的釋放或者下載。而這些惡意代碼往往經(jīng)過(guò)了入侵者的層層反信息安全產(chǎn)品操作：加殼、反虛擬機(jī)、免殺、驅(qū)動(dòng)保護(hù)、條件執(zhí)行等等各種保護(hù)。最重要的問(wèn)題在于入侵者往往針對(duì)要入侵的用戶或網(wǎng)絡(luò)十分了解，目的性是竊取特定用戶的信息，且進(jìn)行長(zhǎng)期潛伏，所以入侵者還會(huì)針對(duì)用戶的固定信息安全產(chǎn)品進(jìn)行單獨(dú)的研究與免殺、繞過(guò)技術(shù)等處置，所以針對(duì)文檔型漏洞的惡意代碼查殺檢測(cè)率幾乎為零。

目前，信息安全廠商針對(duì)文檔型漏洞的自動(dòng)化惡意文檔識(shí)別方案，主要采用虛擬機(jī)沙盒分析的方法，其中，沙盒主要是指一個(gè)模擬的或者真實(shí)的操作系統(tǒng)環(huán)境，或者文件執(zhí)行環(huán)境，這種方法首先要保證沙盒中存在文檔能夠正確執(zhí)行的相關(guān)應(yīng)用程序，相關(guān)技術(shù)對(duì)某些檢測(cè)沙箱環(huán)境的惡意文檔無(wú)法分析。一般主要用于概念性驗(yàn)證。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種識(shí)別文檔代碼的方法和裝置，解決了惡意文件的自動(dòng)化分析的問(wèn)題。

為了實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明采取的技術(shù)方案如下：

一種識(shí)別文檔代碼的方法，包括：

對(duì)目標(biāo)文檔滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位；

對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果；

根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含惡意代碼。

可選地，所述對(duì)目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位，包括：

對(duì)所述目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式；

根據(jù)識(shí)別出的所述目標(biāo)文檔的格式，在所述目標(biāo)文檔對(duì)應(yīng)的位置進(jìn)行惡意代碼定位。

可選地，對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行包括:

從所述滿足預(yù)設(shè)格式字節(jié)的起始位置開始，每次調(diào)整偏移量，逐次進(jìn)行模擬CPU指令執(zhí)行，獲得執(zhí)行結(jié)果，直到所述滿足預(yù)設(shè)格式字節(jié)的結(jié)束位置。

可選地，對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果包括：

逐一比較從所述執(zhí)行結(jié)果提取出的特征是否符合預(yù)設(shè)的惡意代碼特征，如果符合，則記錄所述特征。

可選地，根據(jù)所述特征提取結(jié)果給出分析結(jié)論包括：

對(duì)特征提取獲得的每個(gè)特征提取結(jié)果按照預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行評(píng)分，根據(jù)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果與預(yù)設(shè)閾值進(jìn)行比較，獲得所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)是否為惡意代碼的分析結(jié)論。

本發(fā)明實(shí)施例還提供一種識(shí)別文檔惡意代碼的裝置，包括：

定位模塊，設(shè)置為對(duì)目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位；

指令模塊，設(shè)置為對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

特征提取模塊，設(shè)置為對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果；

分析模塊，設(shè)置為根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含 惡意代碼。

可選地，所述定位模塊包括：

格式識(shí)別模塊，設(shè)置為對(duì)所述目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式；

根據(jù)所述格式識(shí)別模塊識(shí)別出的所述目標(biāo)文檔的格式，在所述目標(biāo)文檔對(duì)應(yīng)的位置進(jìn)行惡意代碼定位。

可選地，所述指令模塊對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行是指:

從所述滿足預(yù)設(shè)格式字節(jié)的起始位置開始，每次調(diào)整偏移量，逐次進(jìn)行模擬CPU指令執(zhí)行，獲得執(zhí)行結(jié)果，直到所述滿足預(yù)設(shè)格式字節(jié)的結(jié)束位置。

可選地，所述特征提取模塊對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果是指：

逐一比較從所述執(zhí)行結(jié)果提取出的特征是否符合預(yù)設(shè)的惡意代碼特征，如果符合，則記錄所述特征。

可選地，所述分析模塊根據(jù)所述特征提取結(jié)果給出分析結(jié)論是指：

對(duì)特征提取獲得的每個(gè)特征提取結(jié)果按照預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行評(píng)分，根據(jù)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果與預(yù)設(shè)閾值進(jìn)行比較，獲得所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)是否為惡意代碼的分析結(jié)論。

本發(fā)明實(shí)施例還提供一種識(shí)別文檔惡意代碼的裝置，包括存儲(chǔ)器和處理器，

所述存儲(chǔ)器用于存儲(chǔ)用于識(shí)別文檔惡意代碼的程序；所述用于識(shí)別文檔惡意代碼的程序在被所述處理器讀取執(zhí)行時(shí)，執(zhí)行如下操作：

對(duì)所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位；

對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果；

根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含惡意代碼。

本發(fā)明和現(xiàn)有技術(shù)相比，具有如下有益效果：

本發(fā)明能夠解決相關(guān)技術(shù)的惡意文檔識(shí)別方法受限于環(huán)境的問(wèn)題，可以分析任意x86平臺(tái)的惡意文檔，不受限于針對(duì)沙箱環(huán)境的檢測(cè)?？梢越Y(jié)合文件結(jié)構(gòu)分析及惡意特征打分機(jī)制，快速定位代碼，并且效果良好。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例的識(shí)別文檔代碼的方法的流程圖；

圖2為本發(fā)明實(shí)施例的識(shí)別文檔代碼的裝置的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例1的識(shí)別文檔代碼的任務(wù)的流程圖。

具體實(shí)施方式

為使本發(fā)明的發(fā)明目的、技術(shù)方案和有益效果更加清楚明了，下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行說(shuō)明，需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例和實(shí)施例中的特征可以相互任意組合。

如圖1所示，本發(fā)明實(shí)施例提供一種識(shí)別文檔代碼的方法，包括：

S101、對(duì)所述目標(biāo)文檔滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位；

S102、對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

S103、對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果。

S104、根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含惡意代碼。

本發(fā)明實(shí)施例的方法通過(guò)快速掃描文檔中的字節(jié)，進(jìn)行文件結(jié)構(gòu)分析，定位可能產(chǎn)生惡意代碼的位置，然后利用CPU指令執(zhí)行的方式，把相關(guān)字節(jié)當(dāng)成可執(zhí)行指令執(zhí)行。其中，本發(fā)明實(shí)施例中滿足預(yù)設(shè)格式字節(jié)為包含漏洞的字節(jié)或者可能包含惡意代碼的字節(jié)，如果能夠執(zhí)行，并且符合預(yù)定惡意特征，結(jié)束這一識(shí)別過(guò)程，否則跳過(guò)當(dāng)前分析字節(jié)，繼續(xù)分析。本發(fā)明實(shí)施例中進(jìn)行中央處理器CPU指令執(zhí)行分析指的是虛擬CPU執(zhí)行指令。

本發(fā)明實(shí)施例的方法與相關(guān)技術(shù)中沙盒識(shí)別技術(shù)相比，能夠在x86平臺(tái)上通過(guò)模擬CPU指令，然后提取指令執(zhí)行結(jié)果，成本更小，而且在不需要 額外設(shè)備，效率高，不易被惡意代碼發(fā)現(xiàn)從而繞過(guò)。

本發(fā)明實(shí)施例中，在所述方法之前可以包括：

S100、對(duì)目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式。

其中，步驟S100對(duì)目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式包括:

利用預(yù)設(shè)模板識(shí)別所述目標(biāo)文檔的格式。

本發(fā)明實(shí)施例中針對(duì)目標(biāo)文檔的格式識(shí)別，如果所述目標(biāo)文檔的格式無(wú)法識(shí)別，將所述目標(biāo)文檔標(biāo)記為陌生文檔。

由于目前各類文檔有自己的文件格式定義，如微軟office系列、ADOBE PDF文件、ADOBE FLASH文件等，這些文件的格式是固定的，惡意代碼一般保存在某個(gè)節(jié)或者某個(gè)字段中。本發(fā)明實(shí)施例利用預(yù)設(shè)的模塊對(duì)已知文件格式進(jìn)行分析，當(dāng)識(shí)別出目標(biāo)文檔的格式時(shí)，可以在對(duì)應(yīng)的固定的位置進(jìn)行惡意代碼定位，好處在于能夠提高分析效率。而對(duì)于那些未知的文件格式(標(biāo)記為陌生文檔的目標(biāo)文件)，需要從頭到尾進(jìn)行掃描分析。

S101對(duì)所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位包括:根據(jù)預(yù)設(shè)模板識(shí)別出的所述目標(biāo)文檔的格式，在所述目標(biāo)文檔對(duì)應(yīng)的位置進(jìn)行惡意代碼定位，可能發(fā)現(xiàn)多個(gè)惡意代碼的情況，比如開始位置分別位于A1、A2……An、結(jié)束位置位于B1、B2……Bn，這時(shí)分別記錄每段滿足預(yù)設(shè)格式字節(jié)位置，分別按照本發(fā)明實(shí)施例的方法進(jìn)行識(shí)別。

步驟S102對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行包括:

從所述滿足預(yù)設(shè)格式字節(jié)的起始位置開始，每次調(diào)整偏移量，逐次進(jìn)行模擬CPU指令執(zhí)行，獲得執(zhí)行結(jié)果，直到所述滿足預(yù)設(shè)格式字節(jié)的結(jié)束位置。

本發(fā)明實(shí)施例首先對(duì)目標(biāo)文件的格式進(jìn)行分析，無(wú)論已知的格式還是未知的格式，都對(duì)所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位，確定一個(gè)或者多個(gè)惡意代碼存在的位置，每段惡意代碼都會(huì)確定一個(gè)位置作為惡意代碼分析的起始地址，本發(fā)明實(shí)施例定位到這個(gè)起始地址，對(duì)后續(xù)每個(gè)文件字節(jié)進(jìn)行分析，防止了漏過(guò)惡意代碼的每個(gè)字節(jié)，因?yàn)?，分析期間如果漏過(guò)一 個(gè)字節(jié)，后續(xù)分析出來(lái)的字節(jié)指令意義很可能完全不同，而將直接導(dǎo)致分析結(jié)果大相徑庭。因此，本發(fā)明實(shí)施例從所述滿足預(yù)設(shè)格式字節(jié)的起始位置開始，每次調(diào)整偏移量(依據(jù)字節(jié)長(zhǎng)度確定)，逐次進(jìn)行CPU指令執(zhí)行分析。

步驟S103對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果包括：

逐一比較從所述執(zhí)行結(jié)果提取出的特征是否符合預(yù)設(shè)的惡意代碼特征，如果符合，則記錄所述特征。

本發(fā)明實(shí)施例中的預(yù)設(shè)的惡意代碼特征包括漏洞利用代碼shellcode特征。

步驟S104根據(jù)所述特征提取結(jié)果給出分析結(jié)論包括：

對(duì)特征提取獲得的每個(gè)特征提取結(jié)果按照預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行評(píng)分，根據(jù)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果與預(yù)設(shè)閾值進(jìn)行比較，獲得所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)是否為惡意代碼的分析結(jié)論。

本發(fā)明實(shí)施例中評(píng)分標(biāo)準(zhǔn)主要是依賴惡意代碼的行為特征，如代碼重定位，代碼自解密等。每個(gè)行為特征都有一定分值，計(jì)算這個(gè)分值，達(dá)到預(yù)設(shè)閾值，則確定目標(biāo)文檔存在惡意代碼，可以進(jìn)行提示或者報(bào)警處理；如果沒(méi)達(dá)到預(yù)設(shè)閾值，可以根據(jù)累計(jì)的分值，給出對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)，對(duì)于風(fēng)險(xiǎn)等級(jí)較高的可以限制某些操作或者處理。

如圖3所示，本發(fā)明實(shí)施例還提供一種識(shí)別文檔代碼的的裝置，包括：

定位模塊11，設(shè)置為對(duì)所述目標(biāo)文檔滿足預(yù)設(shè)格式的字節(jié)位置進(jìn)行定位；

指令模塊12，設(shè)置為對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

特征提取模塊13，設(shè)置為對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果；

分析模塊14，設(shè)置為根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含惡意代碼。

所述的裝置還包括：格式化模塊，設(shè)置為對(duì)所述目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式。

所述格式化模塊對(duì)目標(biāo)文檔進(jìn)行格式化解析，識(shí)別出所述目標(biāo)文檔的格式是指：

利用預(yù)設(shè)模板識(shí)別所述目標(biāo)文檔的格式，如果所述目標(biāo)文檔的格式無(wú)法識(shí)別，將所述目標(biāo)文檔標(biāo)記為陌生文檔。

所述定位模塊11對(duì)目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)位置進(jìn)行定位是指:

根據(jù)預(yù)設(shè)模板識(shí)別出的所述目標(biāo)文檔的格式，在所述目標(biāo)文檔對(duì)應(yīng)的位置進(jìn)行惡意代碼定位。

所述指令模塊12對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行是指：

從所述滿足預(yù)設(shè)格式字節(jié)的起始位置開始，每次調(diào)整偏移量，逐次進(jìn)行模擬CPU指令執(zhí)行，獲得執(zhí)行結(jié)果，直到所述滿足預(yù)設(shè)格式字節(jié)的結(jié)束位置。

所述特征提取模塊13對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果是指：

逐一比較從所述執(zhí)行結(jié)果提取出的特征是否符合預(yù)設(shè)的惡意代碼特征，如果符合，則記錄所述特征。

所述分析模塊14根據(jù)所述特征提取結(jié)果給出分析結(jié)論是指：

對(duì)特征提取獲得的每個(gè)特征提取結(jié)果按照預(yù)設(shè)標(biāo)準(zhǔn)進(jìn)行評(píng)分，根據(jù)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果與預(yù)設(shè)閾值進(jìn)行比較，獲得所述目標(biāo)文檔的滿足預(yù)設(shè)格式字節(jié)是否為惡意代碼的分析結(jié)論。

本發(fā)明實(shí)施例還提供一種識(shí)別文檔代碼的裝置，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器用于存儲(chǔ)用于識(shí)別文檔惡意代碼的程序；所述用于識(shí)別文檔惡意代碼的程序在被所述處理器讀取執(zhí)行時(shí)，執(zhí)行如下操作：

對(duì)所述目標(biāo)文檔滿足預(yù)設(shè)格式的字節(jié)位置進(jìn)行定位；

對(duì)所述滿足預(yù)設(shè)格式字節(jié)的起始位置至結(jié)束位置進(jìn)行模擬中央處理器CPU指令執(zhí)行，獲得執(zhí)行結(jié)果；

對(duì)所述執(zhí)行結(jié)果進(jìn)行特征提取，獲得特征提取結(jié)果；

根據(jù)所述特征提取結(jié)果，識(shí)別所述目標(biāo)文檔是否包含惡意代碼。

實(shí)施例1

如圖3所示，本發(fā)明實(shí)施例說(shuō)明識(shí)別文檔代碼的任務(wù)的步驟：

110、對(duì)目標(biāo)文檔進(jìn)行格式化解析，主要是利用一些預(yù)定模板識(shí)別該文檔的格式，如果文檔格式無(wú)法識(shí)別，將其標(biāo)記為陌生文檔；

120、在識(shí)別目標(biāo)文檔格式后，對(duì)文檔可能產(chǎn)生的漏洞字節(jié)位置進(jìn)行定位，一般存在于某個(gè)section(代碼節(jié))中，記錄此時(shí)起始位置a和結(jié)束位置b；

130、利用改進(jìn)的開源pyEmu框架對(duì)記錄的位置a進(jìn)行CPU指令執(zhí)行分析，并根據(jù)執(zhí)行結(jié)果進(jìn)行特征提取，150、判斷是否符合預(yù)設(shè)shellcode特征一旦符合預(yù)設(shè)shellcode特征，將記錄此結(jié)果。如果發(fā)現(xiàn)執(zhí)行過(guò)程中模擬CPU出現(xiàn)異常，將退出執(zhí)行，140、調(diào)整記錄的偏移量，繼續(xù)使用CPU指令的方法進(jìn)行分析，直至結(jié)束位置b；

160、給出分析結(jié)論。

實(shí)施例2

本發(fā)明實(shí)施例說(shuō)明目標(biāo)文檔存在多個(gè)惡意代碼時(shí)識(shí)別文檔惡意代碼的任務(wù)的步驟：

1.對(duì)目標(biāo)文檔進(jìn)行格式化解析，利用預(yù)定模板識(shí)別該文檔的格式，如果文檔格式無(wú)法識(shí)別，將其標(biāo)記為陌生文檔；

2.在識(shí)別目標(biāo)文檔格式后，對(duì)文檔的漏洞字節(jié)位置進(jìn)行定位，開始位置分別位于A1、A2……An、結(jié)束位置位于B1、B2……Bn；

3.對(duì)于每段漏洞字節(jié)位置，分別利用改進(jìn)的開源pyEmu框架對(duì)記錄的開始位置進(jìn)行CPU指令執(zhí)行分析，并根據(jù)執(zhí)行結(jié)果進(jìn)行特征提取，一旦符合預(yù)設(shè)shellcode特征，將記錄此結(jié)果，跳轉(zhuǎn)至下一段落的惡意代碼繼續(xù)分析。如果在一段惡意代碼中發(fā)現(xiàn)執(zhí)行過(guò)程中模擬CPU出現(xiàn)異常，則退出該段惡意代碼執(zhí)行跳轉(zhuǎn)至下一段落的惡意代碼繼續(xù)使用CPU指令的方法進(jìn)行分析，直至所有惡意代碼分析完畢；

4.給出分析結(jié)論。

實(shí)施例3

本實(shí)施例說(shuō)明根據(jù)所述特征提取結(jié)果給出分析結(jié)論的過(guò)程：

本發(fā)明實(shí)施例為了防止惡意文檔中的shellcode被靜態(tài)特征掃描，其保存在文件中都是加密的，而shellcode在執(zhí)行過(guò)程中會(huì)先進(jìn)行解密，即執(zhí)行一段解密指令，一旦模擬執(zhí)行中發(fā)現(xiàn)此類解密后續(xù)字節(jié)行為，將會(huì)記a分，如常見代碼decrypt:xor byte ptr[reg],al；dec ecx；jnz decrypt；

shellcode在執(zhí)行過(guò)程中由于需要獲取系統(tǒng)API的地址進(jìn)行調(diào)用，都需要進(jìn)行代碼自定位。一般是通過(guò)如下指令來(lái)實(shí)現(xiàn)：call next；next:pop ebp等指令，抽象成行為特征就是通過(guò)寄存器獲取下條指令的地址，這種行為記b分；

其他的shellcode行為特征如：API地址定位需要TEB和PEB，敏感API調(diào)用(WinExec，VirtualProtect等)，反HOOK API檢測(cè)等，每個(gè)行為特征設(shè)定對(duì)應(yīng)的分值；

累計(jì)分值，達(dá)到預(yù)設(shè)閾值，則確定目標(biāo)文檔存在惡意代碼。

如果沒(méi)達(dá)到預(yù)設(shè)閾值，可以根據(jù)累計(jì)的分值與第一數(shù)值、第二數(shù)值等比較，給出對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)：

當(dāng)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果大于預(yù)置的第一數(shù)值時(shí)，確定所述惡意代碼的風(fēng)險(xiǎn)等級(jí)為第一風(fēng)險(xiǎn)等級(jí)；

當(dāng)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果小于或等于所述第一數(shù)值并且大于預(yù)置的第二數(shù)值時(shí)，確定所述惡意代碼的風(fēng)險(xiǎn)等級(jí)為第二風(fēng)險(xiǎn)等級(jí)；

當(dāng)特征提取獲得的所有特征提取結(jié)果的評(píng)分結(jié)果小于或等于所述第二數(shù)值時(shí)，確定所述惡意代碼的風(fēng)險(xiǎn)等級(jí)為第三風(fēng)險(xiǎn)等級(jí)；

對(duì)于第一風(fēng)險(xiǎn)等級(jí)的目標(biāo)文檔，可以限制下載或者只能下載標(biāo)識(shí)及版本信息；對(duì)于第二風(fēng)險(xiǎn)等級(jí)的目標(biāo)文檔，可以限制安裝或者提示風(fēng)險(xiǎn)；對(duì)于第三風(fēng)險(xiǎn)等級(jí)的目標(biāo)文檔，可以不做限制處理。

雖然本發(fā)明所揭示的實(shí)施方式如上，但其內(nèi)容只是為了便于理解本發(fā)明的技術(shù)方案而采用的實(shí)施方式，并非用于限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭示的核心技術(shù)方案的前提下，可以在實(shí)施的形式和細(xì)節(jié)上做任何修改與變化，但本發(fā)明所限定的保護(hù)范圍，仍須以所附的權(quán)利要求書限定的范圍為準(zhǔn)。