本发明专利技术公开了一种防御文档溢出的方法及装置,包括:针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。本发明专利技术所述技术方案能够有效防御恶意代码通过文档感染系统的行为。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种防御文档溢出的方法及装置。
技术介绍
随着计算机和信息技术的飞速发展,信息化在各行各业都有了广泛的应用。对于企事业单位来说,电子文档已成为公司运行过程中的主要信息载体。在目前阶段,很多钓鱼攻击、社会工程学攻击、鱼叉式攻击等大部分都以文档为载体进行传播。而存在一些用户会点击运行问题文档,从而造成企业或个人的信息泄露,甚至造成经济损失。目前企事业单位对于这些电子文档的防护还有一定的欠缺,而现有防护软件和安全产品并不能完全解决文档的安全问题。主要体现在工作人员的安全意识较差,碰到一些高级的社会工程学攻击、钓鱼攻击还是会被诱导打开。
技术实现思路
本专利技术所述的技术方案通过在文档打开后,对系统操作和文档自身的行为操作进行监控,如发现可疑操作行为则及时阻断,避免问题文档对系统的感染;同时,通过在文档打开前生成系统快照,文档关闭后恢复系统快照,可以有效防御文档打开期间对系统造成的危害。本专利技术采用如下方法来实现:一种防御文档溢出的方法,包括:针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。进一步地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。进一步地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shellcode。更进一步地,所述基本信息包括:名称、hash值或者调用关系。本专利技术可以采用如下装置来实现:一种防御文档溢出的装置,包括:快照生成模块,用于针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;系统监控模块,用于监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;文档监控模块,用于监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;快照恢复模块,用于当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照;可信应用程序库,用于存储可信应用程序的基本信息。进一步地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。进一步地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shellcode。更进一步地,所述基本信息包括:名称、hash值或者调用关系。综上,本专利技术给出一种防御文档溢出的方法及装置,只有发现存在文档打开操作时,启动所述装置对系统进行防御保护,在存在文档打开操作前,实时生成系统快照;当监控到存在文档打开操作时,则停止系统快照的生成;监控系统操作,若发现不属于可信应用程序库中的应用程序启动,则进行及时阻断;监控文档本身的行为操作,若存在预设的可疑行为则进行及时阻断;当发现存在文档关闭操作时,对于文档打开前生成的系统快照进行恢复操作。有益效果为:本专利技术所述的方法及装置在文档打开后启动保护状态,在保护状态下不能执行除可信应用程序库外的任何可执行程序;也不能对现有进程中的任何进程进行注入、修改或者新增线程或者其他操作,一旦发现可疑操作行为及时阻断;当文档被关闭后,则停止监控行为,对生成的系统快照进行恢复操作,即使文档自身存在漏洞或者任何安全问题,文档的打开操作都不会对系统造成任何危害。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种防御文档溢出的方法实施例流程图;图2为本专利技术提供的一种防御文档溢出的装置实施例结构图。具体实施方式本专利技术给出了一种防御文档溢出的方法及装置实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明:本专利技术首先提供了一种防御文档溢出的方法实施例,如图1所示,包括:S101针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;其中,所述系统快照为,对系统中现有启动项,注册表,服务,进程,线程,动态地址,每个进程、线程的内存使用情况或者虚拟内存使用情况生成系统快照;S102监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;其中,所述系统操作可以但不限于:进程、线程、服务或者网络等相关操作;因此,不在可信应用程序库中加载的可疑应用程序不能启动运行,从而实现有效防御;S103监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;S104当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。优选地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。因此,对于文档打开前没有启动,文档打开后请求启动的应用程序不允许启动运行,及时进行阻断。优选地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shellcode。因此,如果文档存在漏洞或者shellcode等,不会因为文档被打开而感染系统。更优选地,所述基本信息包括:名称、hash值或者调用关系。本专利技术还提供了一种防御文档溢出的装置实施例,如图2所示,包括:快照生成模块201,用于针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;系统监控模块202,用于监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库205进行匹配,若成本文档来自技高网...
【技术保护点】
一种防御文档溢出的方法,其特征在于,包括:针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。
【技术特征摘要】
1.一种防御文档溢出的方法,其特征在于,包括:
针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;
监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;
监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;
当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。
2.如权利要求1所述的方法,其特征在于,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。
3.如权利要求1所述的方法,其特征在于,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者shellcode。
4.如权利要求1或2所述的方法,其特征在于,所述基本信息包括:名称、hash值或者调用关系。
5.一种防御文档溢出的装置,其特征在于,包括:
快照生成模块,...
【专利技术属性】
技术研发人员:刘佳男,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。