一种启发式文档威胁检测方法及系统的制作方法
【技术领域】
[0001] 本发明涉及计算机网络安全技术领域����,尤其涉及一种启发式文档威胁检测方法及 系统����。
【背景技术】
[0002] 入侵者常常利用夹带了恶意代码的文档入侵用户的计算机�����,并引导用户进行打开 操作����,该样内嵌的恶意代码执行���。通常文档类威胁主要有溢出类威胁����、夹带类威胁等�。该类 威胁主要采用基于特征码的检测��,先捕获样本�����,然后提取特征码�,最后进行检测����,或者将所 述文档投入虚拟机�,模拟打开等操作�,观察其行为���。
[0003] 现有技术存在W下问题:特征码检测的主要的问题在于只能针对已知或者已捕获 的样本有效��,对于未知的或者未捕获的样本无能为力����;其次���,海量的文档在虚拟机中执行 时����,每个都要有一个运行与等待的时间��,该样操作速度很慢����;不同类的文档�,在执行时都依 赖于此文档的运行环境����,所W虚拟机中的运行环境的搭建是一个耗时的过程��,且运行环境 未必能包括所有的文档执行环境�����,该样就导致于一些文档因为没有运行环境��,而不能执行����。
【发明内容】
[0004] 针对上述技术问题�����,本发明提供了一种启发式文档威胁检测方法及系统��,该方法 通过对待检测文档进行结构解析�,获取待检测文档的静态信息��,基于静态信息判断是否夹 带敏感数据����,进而完成文档是否有威胁的判定��。
[0005] 本发明采用如下方法来实现:一种启发式文档威胁检测方法�,包括:
[0006] 对待检测文档进行结构解析��,提取静态信息�,包括:文档大小���,文档字数����,内嵌多媒 体文件个数��,内嵌多媒体文件大?���?�;
[0007] 基于所述静态信息����,判断待检测文档是否夹带敏感数据����,若是�����,则对所述敏感数据 进行格式解析�����,否则待检测文档安全��;
[0008] 判断所述敏感数据的格式是否是安全文档可夹带数据格式����,若是��,则待检测文档 是低风险文档�����,否则待检测文档是高风险文档�,告警并进一步检测����。
[0009] 进一步地�����,所述基于所述静态信息�,判断待检测文档是否夹带敏感数据的方法为: 基于文档字数���,内嵌多媒体文件个数和内嵌多媒体文件大小计算待检测文档理论大小�����,判 断待检测文档理论大小和文档大小之间的差值或者比值是否在预设阔值范围内���,若是����,贝U 待检测文档没有夹带敏感数据����,否则待检测文档夹带敏感数据�。
[0010] 一种启发式文档威胁检测系统����,包括:
[0011] 结构解析?���??���,对待检测文档进行结构解析�����,提取静态信息���,包括:文档大小����,文档 字数�,内嵌多媒体文件个数�,内嵌多媒体文件大?����?�;
[0012] 数据判定?��??���,基于所述静态信息��,判断待检测文档是否夹带敏感数据�����,若是�,贝U 对所述敏感数据进行格式解析��,否则待检测文档安全����;
[0013] 格式判定?����??,判断所述敏感数据的格式是否是安全文档可夹带数据格式��,若是��, 则待检测文档是低风险文档�����,否则待检测文档是高风险文档�����,告警并进一步检测����。
[0014] 进一步地���,所述基于所述静态信息���,判断待检测文档是否夹带敏感数据的方法为: 基于文档字数�,内嵌多媒体文件个数和内嵌多媒体文件大小计算待检测文档理论大小��,判 断待检测文档理论大小和文档大小之间的差值或者比值是否在预设阔值范围内���,若是�,贝U 待检测文档没有夹带敏感数据����,否则待检测文档夹带敏感数据�����。
[0015] 综上所述����,本发明提供了一种启发式文档威胁检测方法及系统���,首先����,对于待检测 文档进行结构解析�����,获取相关的静态信息�����,利用获取的静态信息估计待检测文档理论大小�, 基于待检测文档理论大小与文档大小之间的差距判定是否夹带敏感数据����,若是��,则对敏感 数据进行格式解析����,否则待检测文档安全����?�;诟袷浇馕龅慕峁卸ù觳馕牡凳欠袷歉?风险文档�����。本发明所述的方法及系统����,解决了传统方法不能有效检测未知的文档类威胁的 缺陷�,并且克服了虚拟机执行的搭建困难����,耗费时间等问题����。
【附图说明】
[0016] 为了更清楚地说明本发明的技术方案��,下面将对实施例中所需要使用的附图作简 单地介绍���,显而易见地�����,下面描述中的附图仅仅是本发明中记载的一些实施例����,对于本领域 普通技术人员来讲�,在不付出创造性劳动的前提下���,还可W根据该些附图获得其他的附图����。
[0017] 图1为本发明提供的一种启发式文档威胁检测方法实施例流程图��;
[0018] 图2为本发明提供的一种启发式文档威胁检测系统实施例结构图��。
【具体实施方式】
[0019] 本发明给出了一种启发式文档威胁检测方法及系统�����,为了使本技术领域的人员更 好地理解本发明实施例中的技术方案�����,并使本发明的上述目的��、特征和优点能够更加明显 易懂�,下面结合附图对本发明中技术方案作进一步详细的说明:
[0020] 本发明首先提供了一种启发式文档威胁检测方法实施例��,如图1所示�����,包括:
[0021] S101对待检测文档进行结构解析����,提取静态信息�����;
[0022] 所述静态信息包括����;文档大小����,文档字数���,内嵌多媒体文件个数����,内嵌多媒体文件 大小等��;所述待检测文档类型包括0巧ce系列���、PDF等�����;
[0023] S102基于所述静态信息�,判断待检测文档是否夹带敏感数据�,若是�,则执行S103���, 否则待检测文档安全�����;
[0024] 所述敏感数据为待检测文档经过结构解析后没有发现的夹带数据�;
[00巧]S103对所述敏感数据进行格式解析���;
[0026] S104判断所述敏感数据的格式是否是安全文档可夹带数据格式����,若是���,则待检测 文档是低风险文档��,否则待检测文档是高风险文档���,告警并进一步检测�����。
[0027] 所述安全文档可夹带数据格式��,即在已知的文档中会出现的格式��,相对于其他格 式的数据其安全等级较高�。
[0028] 优选地�����,所述基于所述静态信息����,判断待检测文档是否夹带敏感数据的方法为��;基 于文档字数�����,内嵌多媒体文件个数和内嵌多媒体文件大小计算待检测文档理论大小���,判断 待检测文档理论大小和文档大小之间的差值或者比值是否在预设阔值范围内����,若是��,则待 检测文档没有夹带敏感数据���,否则待检测文档夹带敏感数据�。