一種啟發(fā)式文檔威脅檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種啟發(fā)式文檔威脅檢測方法及 系統(tǒng)��。
【背景技術(shù)】
[0002] 入侵者常常利用夾帶了惡意代碼的文檔入侵用戶的計算機(jī),并引導(dǎo)用戶進(jìn)行打開 操作����,該樣內(nèi)嵌的惡意代碼執(zhí)行。通常文檔類威脅主要有溢出類威脅��、夾帶類威脅等��。該類 威脅主要采用基于特征碼的檢測�����,先捕獲樣本��,然后提取特征碼�����,最后進(jìn)行檢測�����,或者將所 述文檔投入虛擬機(jī)���,模擬打開等操作�����,觀察其行為�����。
[0003] 現(xiàn)有技術(shù)存在W下問題:特征碼檢測的主要的問題在于只能針對已知或者已捕獲 的樣本有效��,對于未知的或者未捕獲的樣本無能為力�;其次�,海量的文檔在虛擬機(jī)中執(zhí)行 時,每個都要有一個運(yùn)行與等待的時間��,該樣操作速度很慢���;不同類的文檔���,在執(zhí)行時都依 賴于此文檔的運(yùn)行環(huán)境,所W虛擬機(jī)中的運(yùn)行環(huán)境的搭建是一個耗時的過程����,且運(yùn)行環(huán)境 未必能包括所有的文檔執(zhí)行環(huán)境,該樣就導(dǎo)致于一些文檔因為沒有運(yùn)行環(huán)境����,而不能執(zhí)行�。
【發(fā)明內(nèi)容】
[0004] 針對上述技術(shù)問題�,本發(fā)明提供了一種啟發(fā)式文檔威脅檢測方法及系統(tǒng),該方法 通過對待檢測文檔進(jìn)行結(jié)構(gòu)解析����,獲取待檢測文檔的靜態(tài)信息,基于靜態(tài)信息判斷是否夾 帶敏感數(shù)據(jù)��,進(jìn)而完成文檔是否有威脅的判定����。
[0005] 本發(fā)明采用如下方法來實現(xiàn):一種啟發(fā)式文檔威脅檢測方法,包括:
[0006] 對待檢測文檔進(jìn)行結(jié)構(gòu)解析��,提取靜態(tài)信息�,包括:文檔大小,文檔字?jǐn)?shù)��,內(nèi)嵌多媒 體文件個數(shù)����,內(nèi)嵌多媒體文件大小;
[0007] 基于所述靜態(tài)信息�����,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)���,若是��,則對所述敏感數(shù)據(jù) 進(jìn)行格式解析���,否則待檢測文檔安全�;
[0008] 判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式,若是���,則待檢測文檔 是低風(fēng)險文檔����,否則待檢測文檔是高風(fēng)險文檔�����,告警并進(jìn)一步檢測�。
[0009] 進(jìn)一步地,所述基于所述靜態(tài)信息,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)的方法為: 基于文檔字?jǐn)?shù)��,內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計算待檢測文檔理論大小���,判 斷待檢測文檔理論大小和文檔大小之間的差值或者比值是否在預(yù)設(shè)闊值范圍內(nèi)�����,若是�����,貝U 待檢測文檔沒有夾帶敏感數(shù)據(jù)�,否則待檢測文檔夾帶敏感數(shù)據(jù)�。
[0010] 一種啟發(fā)式文檔威脅檢測系統(tǒng),包括:
[0011] 結(jié)構(gòu)解析模塊���,對待檢測文檔進(jìn)行結(jié)構(gòu)解析�,提取靜態(tài)信息�����,包括:文檔大小��,文檔 字?jǐn)?shù),內(nèi)嵌多媒體文件個數(shù)�����,內(nèi)嵌多媒體文件大?���。?br>[0012] 數(shù)據(jù)判定模塊���,基于所述靜態(tài)信息�����,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)��,若是,貝U 對所述敏感數(shù)據(jù)進(jìn)行格式解析���,否則待檢測文檔安全��;
[0013] 格式判定模塊����,判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式,若是�����, 則待檢測文檔是低風(fēng)險文檔���,否則待檢測文檔是高風(fēng)險文檔�����,告警并進(jìn)一步檢測����。
[0014] 進(jìn)一步地��,所述基于所述靜態(tài)信息�����,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)的方法為: 基于文檔字?jǐn)?shù)��,內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計算待檢測文檔理論大小���,判 斷待檢測文檔理論大小和文檔大小之間的差值或者比值是否在預(yù)設(shè)闊值范圍內(nèi)��,若是���,貝U 待檢測文檔沒有夾帶敏感數(shù)據(jù)����,否則待檢測文檔夾帶敏感數(shù)據(jù)���。
[0015] 綜上所述�,本發(fā)明提供了一種啟發(fā)式文檔威脅檢測方法及系統(tǒng)�����,首先�,對于待檢測 文檔進(jìn)行結(jié)構(gòu)解析,獲取相關(guān)的靜態(tài)信息���,利用獲取的靜態(tài)信息估計待檢測文檔理論大小�����, 基于待檢測文檔理論大小與文檔大小之間的差距判定是否夾帶敏感數(shù)據(jù),若是���,則對敏感 數(shù)據(jù)進(jìn)行格式解析���,否則待檢測文檔安全��?;诟袷浇馕龅慕Y(jié)果判定待檢測文檔是否是高 風(fēng)險文檔���。本發(fā)明所述的方法及系統(tǒng)���,解決了傳統(tǒng)方法不能有效檢測未知的文檔類威脅的 缺陷,并且克服了虛擬機(jī)執(zhí)行的搭建困難����,耗費(fèi)時間等問題。
【附圖說明】
[0016] 為了更清楚地說明本發(fā)明的技術(shù)方案�����,下面將對實施例中所需要使用的附圖作簡 單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例����,對于本領(lǐng)域 普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可W根據(jù)該些附圖獲得其他的附圖�。
[0017] 圖1為本發(fā)明提供的一種啟發(fā)式文檔威脅檢測方法實施例流程圖;
[0018] 圖2為本發(fā)明提供的一種啟發(fā)式文檔威脅檢測系統(tǒng)實施例結(jié)構(gòu)圖�����。
【具體實施方式】
[0019] 本發(fā)明給出了一種啟發(fā)式文檔威脅檢測方法及系統(tǒng)���,為了使本技術(shù)領(lǐng)域的人員更 好地理解本發(fā)明實施例中的技術(shù)方案�����,并使本發(fā)明的上述目的����、特征和優(yōu)點能夠更加明顯 易懂�����,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
[0020] 本發(fā)明首先提供了一種啟發(fā)式文檔威脅檢測方法實施例��,如圖1所示��,包括:
[0021] S101對待檢測文檔進(jìn)行結(jié)構(gòu)解析�����,提取靜態(tài)信息����;
[0022] 所述靜態(tài)信息包括;文檔大小���,文檔字?jǐn)?shù)��,內(nèi)嵌多媒體文件個數(shù)�,內(nèi)嵌多媒體文件 大小等�;所述待檢測文檔類型包括0巧ce系列、PDF等���;
[0023] S102基于所述靜態(tài)信息��,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)�����,若是�,則執(zhí)行S103, 否則待檢測文檔安全�;
[0024] 所述敏感數(shù)據(jù)為待檢測文檔經(jīng)過結(jié)構(gòu)解析后沒有發(fā)現(xiàn)的夾帶數(shù)據(jù);
[00巧]S103對所述敏感數(shù)據(jù)進(jìn)行格式解析��;
[0026] S104判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式�,若是,則待檢測 文檔是低風(fēng)險文檔��,否則待檢測文檔是高風(fēng)險文檔�����,告警并進(jìn)一步檢測��。
[0027] 所述安全文檔可夾帶數(shù)據(jù)格式�����,即在已知的文檔中會出現(xiàn)的格式���,相對于其他格 式的數(shù)據(jù)其安全等級較高�。
[0028] 優(yōu)選地,所述基于所述靜態(tài)信息�,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)的方法為�;基 于文檔字?jǐn)?shù),內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計算待檢測文檔理論大小�����,判斷 待檢測文檔理論大小和文檔大小之間的差值或者比值是否在預(yù)設(shè)闊值范圍內(nèi)���,若是��,則待 檢測文檔沒有夾帶敏感數(shù)據(jù)����,否則待檢測文檔夾帶敏感數(shù)據(jù)���。