【技术实现步骤摘要】
复合文档安全检测方法、装置、电子设备及存储介质
本专利技术涉及文档检测
,尤其涉及一种复合文档安全检测方法、装置、电子设备及存储介质。
技术介绍
复合文档是指在一个文件中包含了另一个或多个文件,如doc文件内嵌ppt文件,pdf文件内嵌flash视频。目前对于复合文档的检测,主要是基于特征匹配检测,如office宏检测主要是对恶意宏代码进行特征匹配,pdf检测主要是对内嵌的shellcode进行特征匹配检测。常规的检测方法通常只针对复合文档特定位置或拆分出的内嵌文件进行特征匹配检测。黑客为了躲避检测,故意构造具有多重嵌套的复合文档,将恶意代码内嵌到最里层的文件中(如doc文件中内嵌ppt文件,ppt文件中内嵌恶意PE文件),达到隐藏的目的,一方面为了提高恶意代码分析难度,另一方面可躲避特征查杀。
技术实现思路
有鉴于此,本专利技术实施例提供一种能够对多重嵌套复合文档进行安全检测的复合文档安全检测方法、装置、电子设备及存储介质。第一方面,本专利技术实施例提供一种复合文档安全检测方法,包...
【技术保护点】
1.一种复合文档安全检测方法,其特征在于,包括;/n解析待检测的复合文档,得到文档嵌套信息;/n根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。/n
【技术特征摘要】
1.一种复合文档安全检测方法,其特征在于,包括;
解析待检测的复合文档,得到文档嵌套信息;
根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。
2.根据权利要求1所述的复合文档安全检测方法,其特征在于,所述文档嵌套信息包括内嵌文件层数、最里层内嵌文件的格式、最里层内嵌文件释放后与所述复合文档的大小比值中的一种或任意多种。
3.根据权利要求2所述的复合文档安全检测方法,其特征在于,所述根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为,包括:
判断所述内嵌文件层数是否超出预设嵌套层数阈值、和/或判断所述最里层内嵌文件的格式是否为具有独立代码执行能力的文件、和/或判断所述最里层内嵌文件释放后与所述复合文档的大小比值是否超出预设大小比值阈值;
如果上述判断条件中有两条符合时,判定所述复合文档具有恶意行为。
4.根据权利要求3所述的复合文档安全检测方法,其特征在于,所述具有独立代码执行能力的文件包括二进制可执行文件或脚本文件。
5.一种复合文档安全检测装置,其特征在于,包括:
解析模块,用于解析待检测的复合文档,得到文档嵌套信息;
判断模块,用于根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。
6.根据权利要求5所述的复合文档安全检测装置,其特征在于,所述文档嵌套信...
【专利技术属性】
技术研发人员:薛晨龙,童志明,何公道,
申请(专利权)人:哈尔滨安天科技集团股份有限公司,
类型:发明
国别省市:黑龙;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。