一种嵌套类文件的启发式检测方法、系统及存储介质技术方案

本发明专利技术提出一种嵌套类文件的启发式检测方法、系统及存储介质，所述方法包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。本发明专利技术不需要进行复杂的逻辑分析，也不需要虚拟环境来动态执行脚本，而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测，可以有效的提高检测的速度、准确度等。

【技术实现步骤摘要】
一种嵌套类文件的启发式检测方法、系统及存储介质
本专利技术涉及网络安全
，特别涉及一种嵌套类文件的启发式检测方法、系统及存储介质。
技术介绍
随着计算机的更新换代及互联网的普及，恶意代码也相应的发生着演变，无论是从数量上还是总类上都呈现出较高的增长趋势。传统的启发式检测技术针对样本实体来进行分析，例如分析逻辑结构、虚拟环境中动态执行等等，从而进行启发式检测，但是需要耗费大量的资源和时间，不够快捷，一定程度上比较浪费资源。
技术实现思路
基于上述问题，本专利技术提出一种嵌套类文件的启发式检测方法、系统及存储介质，根据嵌套的文件类型，进行启发式检测，有效提高检测的速度。本专利技术通过如下方法实现：一种嵌套类文件的启发式检测方法，包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。所述的方法中，所对文件类型进行述规则化处理，整理为知识数据，具体为：将拆分出的全部文件类型进行整合，合并相同的文件类型，并记录相同文件类型的文件数量。所述的方法中，所述知识库为，通过对已知具有威胁性的嵌套类文件进行概率学统计，将嵌套类文件进行规则化处理后的知识数据存入知识库。所述的方法中，所述对未匹配成功的嵌套类文件进行恶意性分析，具体为：获取大量已知检测结果的同类型嵌套类文件，进行概率学统计，若统计结果中恶意概率大于非恶意概率，则所述未匹配成功的嵌套类文件为恶意，否则所述未匹配成功的嵌套类文件为非恶意。所述的方法中，对未匹配成功的嵌套类文件进行恶意性分析后，还包括：若恶意性分析结果为恶意文件，则提取嵌套类文件的知识数据；并将所述嵌套类文件的知识数据及对应检测结果录入知识库。本专利技术还提出一种嵌套类文件的启发式检测系统，包括：拆分模块，对获取的嵌套类文件进行文件拆分；数据处理模块，获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；匹配模块，将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则进入恶意性分析模块；恶意性分析模块，对未匹配成功的嵌套类文件进行恶意性分析。所述的系统中，所对文件类型进行述规则化处理，整理为知识数据，具体为：将拆分出的全部文件类型进行整合，合并相同的文件类型，并记录相同文件类型的文件数量。所述的系统中，所述知识库为，通过对已知具有威胁性的嵌套类文件进行概率学统计，将嵌套类文件进行规则化处理后的知识数据存入知识库。所述的系统中，所述对未匹配成功的嵌套类文件进行恶意性分析，具体为：获取大量已知检测结果的同类型嵌套类文件，进行概率学统计，若统计结果中恶意概率大于非恶意概率，则所述未匹配成功的嵌套类文件为恶意，否则所述未匹配成功的嵌套类文件为非恶意。所述的系统中，对未匹配成功的嵌套类文件进行恶意性分析后，还包括：若恶意性分析结果为恶意文件，则提取嵌套类文件的知识数据；并将所述嵌套类文件的知识数据及对应检测结果录入知识库。一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的嵌套类文件的启发式检测方法。本专利技术不必像传统的启发式检测技术那样针对样本实体来进行分析，而是对其进行简单的文件拆分，然后提取每个衍生文件的类型，并将之整理成知识数据，再与已有的知识库进行匹配，匹配成功则说明该嵌套类文件具有威胁性，否则进行恶意性检测，对恶意文件进行知识提取，提取完成直接入知识库。本专利技术相比传统的启发式检测，不用进行复杂的逻辑分析，也不需要虚拟环境来动态执行脚本，而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测，可以有效的提高检测的速度、准确度等。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种嵌套类文件的启发式检测方法实施例流程图；图2为本专利技术一种嵌套类文件的启发式检测系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。一种嵌套类文件的启发式检测方法，如图1所示，包括：S101：对获取的嵌套类文件进行文件拆分；S102：获取拆分出的文件类型；S103：对文件类型进行规则化处理，整理为知识数据；S104：将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。所述的方法中，所对文件类型进行述规则化处理，整理为知识数据，具体为：将拆分出的全部文件类型进行整合，合并相同的文件类型，并记录相同文件类型的文件数量。例如：32位和64位的exe文件均整理为PE文件。再一个嵌套类文件中同时存在两个PE文件，利用json数据简化的表示为：{“file_type”:"PE”,“num”:2}。所述的方法中，所述知识库为，通过对已知具有威胁性的嵌套类文件进行概率学统计，将嵌套类文件进行规则化处理后的知识数据存入知识库。已知的具有威胁性的嵌套类文件包括但不限于一下几种：Office文件中宏和PE文件同时存在；Mail中夹带有PE、APK文件；PDF文件中嵌套flash文件；PE文件中嵌套PE文件等。例如：Office宏是微软为了方便使用，提供的一种语法较简单的可以自动运行的工具，但是当Office中同时含有宏和针对PE文件的调用，则很有可能是攻击者为了规避针对office宏的检测，通过利用宏可自动运行的特性来运行恶意的PE文件，以此完成整个攻击行为。如果我们利用本专利技术进行启发式检测，那么就可以防止该类威胁事件的发生。所述的方法中，所述对未匹配成功的嵌套类文件进行恶意性分析，具体为：获取大量已知检测结果的同类型嵌套类文件，进行概率学统计，若统计结果中恶意概率大于非恶意概率，则所述未匹配成功的嵌套类文件为恶意，否则所述未匹配成功的嵌套类文件为非恶意。该过程与形成知识库的过程相似，由于未知嵌套类型的出现，知识库存在无法匹配的情况，因此可以通过对相同类型的嵌套文件的检测结果，进行概率统计的方式，来判断该文件的恶意性概率，如果恶意性较大，则该文件被判定为恶意。所述的方法中，对未匹配成功的嵌套类文件进行恶意性分析后，还包括：若恶意性分析结果为恶意文件，则提取嵌套类文件的知识数据；并将所述嵌套类文件的知识数据及对应检测结果录入知识库。如：当知识数据是两个PE文件时，由于嵌套类文件中包含PE文件的个数大于1，故启发式检测结果为具有威胁性，所以将知识数据和检测结果合并录入知识库，简化版json数据表现形式为{“file_type”:"PE”,“num”:2,“trust”:”no”}。通过对未知嵌套类文件的检测和知识数据的提取及录入，能够自动化的扩展知识库内容。本专利技术还提出一种嵌套类文件的启发式检测系统，如图2所示，包括本文档来自技高网...

【技术保护点】
1.一种嵌套类文件的启发式检测方法，其特征在于，包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。

【技术特征摘要】
1.一种嵌套类文件的启发式检测方法，其特征在于，包括：对获取的嵌套类文件进行文件拆分；获取拆分出的文件类型，并对文件类型进行规则化处理，整理为知识数据；将所述知识数据与知识库进行匹配；若匹配成功，则所述嵌套类文件存在恶意，输出检测结果，结束检测；否则对未匹配成功的嵌套类文件进行恶意性分析。2.如权利要求1所述的方法，其特征在于，所述对文件类型进行规则化处理，整理为知识数据，具体为：将拆分出的全部文件类型进行整合，合并相同的文件类型，并记录相同文件类型的文件数量。3.如权利要求1所述的方法，其特征在于，所述知识库为，通过对已知具有威胁性的嵌套类文件进行概率学统计，将嵌套类文件进行规则化处理后的知识数据存入知识库。4.如权利要求1所述的方法，其特征在于，所述对未匹配成功的嵌套类文件进行恶意性分析，具体为：获取大量已知检测结果的同类型嵌套类文件，进行概率学统计，若统计结果中恶意概率大于非恶意概率，则所述未匹配成功的嵌套类文件为恶意，否则所述未匹配成功的嵌套类文件为非恶意。5.如权利要求1所述的方法，其特征在于，对未匹配成功的嵌套类文件进行恶意性分析后，还包括：若恶意性分析结果为恶意文件，则提取嵌套类文件的知识数据；并将所述嵌套类文件的知识数据及对应检测结果录入知识库。6.一种嵌套类文件的启发式检测系统，其特征在于，包括：拆分模块，对获取的嵌套类文件进行文件拆分；数据处理模块，获...

【专利技术属性】
技术研发人员：李增光，童志明，何公道，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江,23