随着网络化、信息化的程度进一步提高,高级持续性威胁(AdvancedPersistent Threat,APT)事件不断增多,给国家、企业的安全发展带来了严重威胁和巨大经济损失。APT攻击通过定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等一系列步骤对特定目标进行长期持续的网络攻击。而在单点攻击突破阶段,最常用的网络攻击技术手段是采用植入远程木马的恶意文档,所以有效检测和识别恶意文档十分必要。文章在对现状进行充分调研后,提出一种基于机器学习的恶意文档检测方法。通过结合虚拟沙箱对未知文档进行动态行为分析,设计并实现了一种恶意文档识别工具。实验证明,该工具基于机器学习方式,可以高效处理和识别大规模的恶意文档文件。

• 单位
  北京大学; 国家计算机网络应急技术处理协调中心