[0029] 上述方法可W由如下的數(shù)學模型來完成�,但不限于該數(shù)學模型:
[0030]
[0031] 若e在預設闊值范圍內(nèi),則待檢測文檔沒有夾帶敏感數(shù)據(jù)�,若e不在預設闊值范 圍內(nèi),則待檢測文檔夾帶敏感數(shù)據(jù)���。其中,Ni為文檔字數(shù)或者內(nèi)嵌多媒體文件個數(shù)���,�。為對 應的文字所占大小或者內(nèi)嵌多媒體文件大?���?;S為文檔大小��。所有可W表述上述思想的數(shù) 學模型���,均在本發(fā)明保護的范圍內(nèi)�����;所述預設闊值是通過大規(guī)模的測試得出的�。
[0032] 本發(fā)明還提供了一種啟發(fā)式文檔威脅檢測系統(tǒng)實施例�,如圖2所示,包括:
[0033] 結(jié)構(gòu)解析模塊201��,對待檢測文檔進行結(jié)構(gòu)解析�����,提取靜態(tài)信息����;
[0034] 所述靜態(tài)信息包括;文檔大小,文檔字數(shù)��,內(nèi)嵌多媒體文件個數(shù)�����,內(nèi)嵌多媒體文件 大小等���;所述待檢測文檔類型包括0巧ce系列����、PDF等����;
[0035] 數(shù)據(jù)判定模塊202,基于所述靜態(tài)信息,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)�,若是, 則對所述敏感數(shù)據(jù)進行格式解析�,否則待檢測文檔安全;
[0036] 所述敏感數(shù)據(jù)為待檢測文檔經(jīng)過結(jié)構(gòu)解析后沒有發(fā)現(xiàn)的夾帶數(shù)據(jù)����;
[0037] 格式判定模塊203,判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式,若 是���,則待檢測文檔是低風險文檔�����,否則待檢測文檔是高風險文檔�,告警并進一步檢測�����。
[0038] 所述安全文檔可夾帶數(shù)據(jù)格式�����,即在已知的文檔中會出現(xiàn)的格式���,相對于其他格 式的數(shù)據(jù)其安全等級較高���。
[0039] 優(yōu)選地,所述基于所述靜態(tài)信息���,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)的方法為�;基 于文檔字數(shù)�����,內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計算待檢測文檔理論大小,判斷 待檢測文檔理論大小和文檔大小之間的差值或者比值是否在預設闊值范圍內(nèi)����,若是,則待 檢測文檔沒有夾帶敏感數(shù)據(jù)��,否則待檢測文檔夾帶敏感數(shù)據(jù)���。
[0040] 上述方法可W由如下的數(shù)學模型來完成�����,但不限于該數(shù)學模型:
[0041]
[0042] 若e在預設闊值范圍內(nèi)�����,則待檢測文檔沒有夾帶敏感數(shù)據(jù)�����,若e不在預設闊值范 圍內(nèi)���,則待檢測文檔夾帶敏感數(shù)據(jù)�。其中���,Ni為文檔字數(shù)或者內(nèi)嵌多媒體文件個數(shù),����。為對 應的文字所占大小或者內(nèi)嵌多媒體文件大小�;S為文檔大小。所有可W表述上述思想的數(shù) 學模型���,均在本發(fā)明保護的范圍內(nèi)�����;所述預設闊值是通過大規(guī)模的測試得出的����。
[0043] 如上所述��,本發(fā)明給出了一種啟發(fā)式文檔威脅檢測方法及系統(tǒng)����,對于傳統(tǒng)方法來 說���,為了檢測文檔是否有威脅,需要利用已知樣本提取特征碼��,利用特征碼掃描進行檢測���, 或者將文檔投入虛擬機����,模擬操作方法運行��,監(jiān)控其行為并進行判定��。為了克服傳統(tǒng)方法對 于未知威脅無法有效檢測���,并且檢測效率低的問題�,本發(fā)明提供了一種啟發(fā)式的文檔威脅 檢測方法和系統(tǒng)實施例���,通過獲取待檢測文檔的靜態(tài)信息�,判斷待檢測文檔是否夾帶了敏 感數(shù)據(jù)�����,如果夾帶敏感數(shù)據(jù),通過格式解析獲取所述敏感數(shù)據(jù)的格式����,判斷所述格式是否是 安全文檔可夾帶數(shù)據(jù)格式,若是�,則待檢測文檔是低風險文檔,否則待檢測文檔是高風險文 檔�。本發(fā)明所提供的方法或系統(tǒng)�����,可W有效地檢測和發(fā)現(xiàn)未知的有威脅的文檔�����,彌補了傳統(tǒng) 方法檢測文檔類威脅的劣勢�����。
[0044] W上實施例用W說明而非限制本發(fā)明的技術(shù)方案��。不脫離本發(fā)明精神和范圍的任 何修改或局部替換����,均應涵蓋在本發(fā)明的權(quán)利要求范圍當中���。
【主權(quán)項】
1. 一種啟發(fā)式文檔威脅檢測方法,其特征在于����,包括: 對待檢測文檔進行結(jié)構(gòu)解析,提取靜態(tài)信息��,包括:文檔大小��,文檔字數(shù)����,內(nèi)嵌多媒體文 件個數(shù),內(nèi)嵌多媒體文件大?。? 基于所述靜態(tài)信息�����,判斷待檢測文檔是否夾帶敏感數(shù)據(jù)�����,若是,則對所述敏感數(shù)據(jù)進行 格式解析�,否則待檢測文檔安全; 判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式��,若是���,則待檢測文檔是低 風險文檔�,否則待檢測文檔是高風險文檔�,告警并進一步檢測。2. 如權(quán)利要求1所述的方法��,其特征在于���,所述基于所述靜態(tài)信息,判斷待檢測文檔是 否夾帶敏感數(shù)據(jù)的方法為:基于文檔字數(shù)��,內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計 算待檢測文檔理論大小����,判斷待檢測文檔理論大小和文檔大小之間的差值或者比值是否在 預設閾值范圍內(nèi),若是�����,則待檢測文檔沒有夾帶敏感數(shù)據(jù)����,否則待檢測文檔夾帶敏感數(shù)據(jù)�。3. -種啟發(fā)式文檔威脅檢測系統(tǒng)����,其特征在于,包括: 結(jié)構(gòu)解析模塊��,對待檢測文檔進行結(jié)構(gòu)解析��,提取靜態(tài)信息���,包括:文檔大小��,文檔字 數(shù)�,內(nèi)嵌多媒體文件個數(shù)����,內(nèi)嵌多媒體文件大小�; 數(shù)據(jù)判定模塊,基于所述靜態(tài)信息�,判斷待檢測文檔是否夾帶敏感數(shù)據(jù),若是,則對所 述敏感數(shù)據(jù)進行格式解析��,否則待檢測文檔安全�����; 格式判定模塊����,判斷所述敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式,若是����,則待 檢測文檔是低風險文檔,否則待檢測文檔是高風險文檔��,告警并進一步檢測��。4. 如權(quán)利要求3所述的系統(tǒng)��,其特征在于���,所述基于所述靜態(tài)信息,判斷待檢測文檔是 否夾帶敏感數(shù)據(jù)的方法為:基于文檔字數(shù)�����,內(nèi)嵌多媒體文件個數(shù)和內(nèi)嵌多媒體文件大小計 算待檢測文檔理論大小,判斷待檢測文檔理論大小和文檔大小之間的差值或者比值是否在 預設閾值范圍內(nèi)���,若是��,則待檢測文檔沒有夾帶敏感數(shù)據(jù)�,否則待檢測文檔夾帶敏感數(shù)據(jù)���。
【專利摘要】本發(fā)明公開了一種啟發(fā)式文檔威脅檢測方法及系統(tǒng)����,對于文檔類文件���,包括:office系列或者PDF����,通過對待檢測文檔進行結(jié)構(gòu)解析����,獲取靜態(tài)信息,利用所述靜態(tài)信息判斷待檢測文檔是否夾帶敏感數(shù)據(jù)���,若夾帶敏感數(shù)據(jù)��,則對敏感數(shù)據(jù)進行格式解析��,進一步判定敏感數(shù)據(jù)的格式是否是安全文檔可夾帶數(shù)據(jù)格式����,若是,則待檢測文檔為低風險文檔�,否則判定是高風險文檔。本發(fā)明給出的方法和系統(tǒng)�,可以對文檔類的未知威脅進行檢測,并克服了傳統(tǒng)檢測方法復雜���,效率低下等問題�。
【IPC分類】G06F21/56
【公開號】CN104966019
【申請?zhí)枴緾N201410267588
【發(fā)明人】童志明, 沈長偉, 張栗偉, 何公道
【申請人】哈爾濱安天科技股份有限公司
【公開日】2015年10月7日
【申請日】2014年6月16日