一种宏脚本处置方法及系统、客户端与流程
本技术涉及网络安全,特别是涉及一种宏脚本处置方法及系统、客户端。
背景技术:
1、诸如office等应用程序被广泛应用于企事业单位的日常办公活动中,而宏脚本由于具有可自动化执行应用程序中的操作和任务的特性,其被频繁应用于应用程序。一些不法分子会将其制作的恶意宏脚本伪装为应用程序相关的宏脚本掺杂在应用程序的正常宏脚本中,以基于恶意宏脚本可自动化执行应用程序中的操作和任务的特性,在用户不知情的情况下植入木马或间谍程序,从而达到控制应用程序所在终端设备或者窃取隐私数据的目的。
2、应用程序的运行过程中会运行相关的宏脚本,一旦相关的宏脚本中掺杂的恶意宏脚本被运行,则会对应用程序所在终端设备或企事业单位的隐私数据造成损害。目前无法对应用程序运行的恶意宏脚本进行有效识别和处置。
技术实现思路
1、有鉴于此,本技术提出了一种宏脚本处置方法及系统、客户端,主要目的在于有效识别和处置恶意宏脚本,以降低恶意宏脚本的危害。
2、为了达到上述目的,本技术主要提供了如下技术方案:
3、第一方面,本技术提供了一种宏脚本处置方法,该宏脚本处置方法包括:
4、响应于检测到终端设备运行的应用程序启动可疑宏脚本,基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别;
5、若恶意宏脚本识别结果确定所述可疑宏脚本为恶意宏脚本,则确定所述恶意宏脚本的处置策略;
6、基于所述处置策略处置所述恶意宏脚本。
7、在本技术一些实施例中,若存在至少两种预设识别策略,则基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别,包括:依据至少两种预设识别策略的预设使用顺序,确定当前使用的预设识别策略,并基于当前使用的预设识别策略对所述可疑宏脚本进行恶意宏脚本识别;若基于当前使用的预设识别策略识别出所述可疑宏脚本为恶意宏脚本,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果,且终止对所述可疑宏脚本的恶意宏脚本识别;若基于当前使用的预设识别策略识别出所述可疑宏脚本为非恶意宏脚本,则检测当前使用的预设识别策略是否位于所述预设使用顺序的最后一位;若是,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果;否则,则使用下一个预设识别策略继续对所述可疑宏脚本进行恶意宏脚本识别直至识别出所述可疑宏脚本为恶意宏脚本,或者,识别出所述可疑宏脚本为非恶意宏脚本,且当前使用的预设识别策略位于所述预设使用顺序的最后一位。
8、在本技术一些实施例中,若存在至少一种预设识别策略,则基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别,包括:采用至少一种预设识别策略分别对所述可疑宏脚本进行恶意宏脚本识别;若识别出所述可疑宏脚本为恶意宏脚本的预设识别策略数量达到所述预设数量,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若基于所有预设识别策略均未识别出所述可疑宏脚本为恶意宏脚本,或识别出所述可疑宏脚本为恶意宏脚本的预设识别策略数量未达到所述预设数量,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果。
9、在本技术一些实施例中,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于行为特征进行恶意宏脚本识别,则将所述可疑宏脚本的代码注入第一隔离环境内的第一预设进程;执行注入代码的第一预设进程,并监控所述第一预设进程的行为特征;若监控到恶意行为特征,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若未监控到恶意行为特征,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果。
10、在本技术一些实施例中,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于宏脚本代码进行恶意宏脚本识别,则通过所述代码分析模型分析所述可疑宏脚本的代码;若所述代码分析模型分析出所述代码包括恶意代码,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若所述代码分析模型分析出所述代码不包括恶意代码,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果。
11、在本技术一些实施例中,对所述可疑宏脚本进行恶意宏脚本识别,包括:若所述预设识别策略为基于预先搜集的已知宏脚本进行恶意宏脚本识别,则检测所述预先搜集的已知宏脚本中是否存在目标宏脚本;其中,所述目标宏脚本与所述可疑宏脚本的相似度大于预设阈值;若存在所述目标宏脚本,且所述目标宏脚本为已知恶意宏脚本,则获得所述可疑宏脚本为恶意宏脚本的恶意宏脚本识别结果;若存在所述目标宏脚本,且所述目标宏脚本为已知非恶意宏脚本,则获得所述可疑宏脚本为非恶意宏脚本的恶意宏脚本识别结果。
12、在本技术一些实施例中,确定所述恶意宏脚本的处置策略,包括:确定所述恶意宏脚本识别结果得到的所述恶意宏脚本的行为特征;基于所述行为特征确定所述恶意宏脚本的处置策略。
13、在本技术一些实施例中,基于所述行为特征确定所述恶意宏脚本的处置策略,包括:检测第一策略库中是否存在与所述行为特征匹配的处置策略;其中,所述第一策略库中预先存储有至少一种行为特征对应的处置策略;若存在,则将匹配的处置策略确定为所述恶意宏脚本的处置策略;若不存在,则将所述恶意宏脚本以及所述行为特征发送至用户终端,以供用户基于所述恶意宏脚本以及所述行为特征通过所述用户终端设置所述恶意宏脚本的处置策略。
14、在本技术一些实施例中,该宏脚本处置方法还包括:维护所述恶意宏脚本的处置策略和行为特征之间的对应关系,以便再次识别出所述应用程序启动存在所述行为特征的恶意宏脚本时,基于对应的处置策略进行处置。
15、在本技术一些实施例中,该宏脚本处置方法还包括:若恶意宏脚本识别结果确定所述可疑宏脚本为非恶意宏脚本,则放行所述非恶意宏脚本。
16、在本技术一些实施例中,该宏脚本处置方法还包括:响应于监测到所述终端设备运行的应用程序启动宏脚本,将所述宏脚本的代码注入第二隔离环境内的第二预设进程;执行注入代码的第二预设进程,并监控所述第二预设进程的行为特征;若监控到可疑行为特征,则确定所述宏脚本为所述可疑宏脚本。
17、在本技术一些实施例中,该宏脚本处置方法还包括:若未监控到可疑行为特征,且监控到恶意行为特征,则确定相应的宏脚本为恶意宏脚本,并检测第二策略库中是否存在与所述恶意行为特征匹配的处置策略,所述第二策略库中预先存储有至少一种恶意行为特征对应的处置策略;若存在,则基于匹配的处置策略处置所述恶意宏脚本;若不存在,则将所述恶意宏脚本以及所述恶意行为特征发送至用户终端,以供用户基于所述恶意宏脚本以及所述恶意行为特征通过所述用户终端设置所述宏脚本的处置策略。若未监控到可疑行为特征,且未监控到恶意行为特征,则确定相应的宏脚本为非恶意宏脚本,并放行所述非恶意宏脚本。
18、在本技术一些实施例中,该宏脚本处置方法还包括:响应于监测到所述终端设备运行的应用程序启动宏脚本,检测已知宏脚本库中是否存在所述宏脚本,所述已知宏脚本库中的宏脚本为恶意宏脚本和非恶意宏脚本中的至少一种;若不存在,则确定所述宏脚本为所述可疑宏脚本。
19、在本技术一些实施例中,该宏脚本处置方法还包括:若检测出所述已知宏脚本库存在所述宏脚本,且所述宏脚本为恶意宏脚本,则采用所述恶意宏脚本对应的处置策略处置所述恶意宏脚本;若检测出所述已知宏脚本库存在所述宏脚本,且所述宏脚本为非恶意宏脚本,则放行所述非恶意宏脚本。
20、在本技术一些实施例中,该宏脚本处置方法还包括:响应于检测到所述应用程序启动可疑宏脚本,对所述可疑宏脚本启动预设安全防护程序,以对所述可疑宏脚本的运行进行行为管控;若恶意宏脚本识别结果确定所述可疑宏脚本为恶意宏脚本且所述恶意宏脚本被处置完成,或,若恶意宏脚本识别结果确定所述可疑宏脚本为非恶意宏脚本,则关闭所述预设安全防护程序。
21、在本技术一些实施例中,该宏脚本处置方法还包括:响应于检测到所述应用程序启动可疑宏脚本,拦截所述可疑宏脚本;若恶意宏脚本识别结果确定所述可疑宏脚本为非恶意宏脚本,则释放拦截的所述非恶意宏脚本。
22、在本技术一些实施例中,所述处置策略包括如下至少一种:修复漏洞、恶意宏脚本报警、关闭恶意宏脚本的进程、删除恶意宏脚本。
23、第二方面,本技术提供了一种宏脚本处置系统,该宏脚本处置系统包括:控制中心和客户端,且所述客户端部署于安装有应用程序的终端设备;
24、所述客户端,用于响应于检测到终端设备运行的应用程序启动可疑宏脚本,上报所述可疑宏脚本至所述控制中心;
25、所述控制中心,用于基于预设识别策略对所述可疑宏脚本进行恶意宏脚本识别;若恶意宏脚本识别结果确定所述可疑宏脚本为恶意宏脚本,则确定所述恶意宏脚本的处置策略,并将所述处置策略下发至所述客户端,以供所述客户端基于所述处置策略处置所述恶意宏脚本。
26、第三方面,本技术提供了一种客户端,所述客户端部署于安装有应用程序的终端设备,且所述客户端应用如第一方面的宏脚本处置方法。
27、第四方面,本技术提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面的宏脚本处置方法。
28、本技术提供的宏脚本处置方法及系统、客户端,响应于检测到终端设备运行的应用程序启动可疑宏脚本,基于预设识别策略对可疑宏脚本进行恶意宏脚本识别。若恶意宏脚本识别结果确定可疑宏脚本为恶意宏脚本,则确定恶意宏脚本的处置策略,并基于处置策略处置恶意宏脚本。可见,本技术实施例在应用程序启动可疑宏脚本后,并未放任可疑宏脚本运行,而是对可疑宏脚本进行恶意宏脚本识别,并在恶意宏脚本识别结果确定出可疑宏脚本为恶意宏脚本时,使用与恶意宏脚本具有较高适配性的处置策略,对恶意宏脚本进行处置,这样,能够有效识别和处置恶意宏脚本,从而能够降低恶意宏脚本的危害。
29、上述说明仅是本技术技术方案的概述,为了能够更清楚了解本技术的技术手段,而可依照说明书的内容予以实施,并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本技术的具体实施方式。
- 还没有人留言评论。精彩留言会获得点赞!