本发明专利技术的实施例公开了一种复合文档安全检测方法、装置、电子设备及存储介质,涉及文档检测技术领域。所述复合文档安全检测方法包括:解析待检测的复合文档,得到文档嵌套信息;根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。本发明专利技术实施例提出了一种全新的对复合文档安全检测的方法,可对所有复合文档进行快速有效的检测,包括但不限于office、pdf、rtf、swf、msg、eml等复合文档,其在不依赖于特征码进行匹配检测情况下,可对具有异常的多重嵌套复合文档进行快速有效检测。
Security detection methods, devices, electronic equipment and storage media of composite documents
【技术实现步骤摘要】
复合文档安全检测方法、装置、电子设备及存储介质
本专利技术涉及文档检测
,尤其涉及一种复合文档安全检测方法、装置、电子设备及存储介质。
技术介绍
复合文档是指在一个文件中包含了另一个或多个文件,如doc文件内嵌ppt文件,pdf文件内嵌flash视频。目前对于复合文档的检测,主要是基于特征匹配检测,如office宏检测主要是对恶意宏代码进行特征匹配,pdf检测主要是对内嵌的shellcode进行特征匹配检测。常规的检测方法通常只针对复合文档特定位置或拆分出的内嵌文件进行特征匹配检测。黑客为了躲避检测,故意构造具有多重嵌套的复合文档,将恶意代码内嵌到最里层的文件中(如doc文件中内嵌ppt文件,ppt文件中内嵌恶意PE文件),达到隐藏的目的,一方面为了提高恶意代码分析难度,另一方面可躲避特征查杀。
技术实现思路
有鉴于此,本专利技术实施例提供一种能够对多重嵌套复合文档进行安全检测的复合文档安全检测方法、装置、电子设备及存储介质。第一方面,本专利技术实施例提供一种复合文档安全检测方法,包括:解析待检测的复合文档,得到文档嵌套信息;根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。结合第一方面,在第一方面的一种实施方式中,所述文档嵌套信息包括内嵌文件层数、最里层内嵌文件的格式、最里层内嵌文件释放后与所述复合文档的大小比值中的一种或任意多种。结合第一方面,在第一方面的另一种实施方式中,所述根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为,包括:判断所述内嵌文件层数是否超出预设嵌套层数阈值、和/或判断所述最里层内嵌文件的格式是否为具有独立代码执行能力的文件、和/或判断所述最里层内嵌文件释放后与所述复合文档的大小比值是否超出预设大小比值阈值;如果上述判断条件中有两条符合时,判定所述复合文档具有恶意行为。结合第一方面,在第一方面的再一种实施方式中,所述具有独立代码执行能力的文件包括二进制可执行文件或脚本文件。第二方面,本专利技术实施例提供一种复合文档安全检测装置,包括:解析模块,用于解析待检测的复合文档,得到文档嵌套信息;判断模块,用于根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。结合第二方面,在第二方面的一种实施方式中,所述文档嵌套信息包括内嵌文件层数、最里层内嵌文件的格式、最里层内嵌文件释放后与所述复合文档的大小比值中的一种或任意多种。结合第二方面,在第二方面的另一种实施方式中,所述判断模块,包括:判断子模块,用于判断所述内嵌文件层数是否超出预设嵌套层数阈值、和/或判断所述最里层内嵌文件的格式是否为具有独立代码执行能力的文件、和/或判断所述最里层内嵌文件释放后与所述复合文档的大小比值是否超出预设大小比值阈值;判定子模块,用于如果上述判断条件中有两条符合时,判定所述复合文档具有恶意行为。结合第二方面,在第二方面的再一种实施方式中,所述具有独立代码执行能力的文件包括二进制可执行文件或脚本文件。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的方法。第四方面,本专利技术实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一所述的方法。本专利技术实施例提供的复合文档安全检测方法、装置、电子设备及存储介质,首先解析待检测的复合文档,得到文档嵌套信息,然后根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。这样,在不依赖于特征匹配检测的情况下,通过复合文档的文档嵌套信息判断复合文档是否具有异常的多重嵌套行为,进而判定复合文档是否具有恶意行为。本专利技术实施例提出了一种全新的对复合文档安全检测的方法,可对所有复合文档进行快速有效的检测,包括但不限于office、pdf、rtf、swf、msg、eml等复合文档,其在不依赖于特征码进行匹配检测情况下,可对具有异常的多重嵌套复合文档进行快速有效检测。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术的复合文档安全检测方法一个实施例的流程图;图2为多重异常嵌套的恶意复合文档的结构示意图;图3为本专利技术的复合文档安全检测方法另一实施例的流程图;图4为本专利技术的复合文档安全检测装置一个实施例的结构图;图5为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。一方面,本专利技术实施例提供一种复合文档安全检测方法,如图1所示,所述复合文档安全检测方法可包括:步骤101:解析待检测的复合文档,得到文档嵌套信息;本步骤中,可以对待检测的复合文档按照结构进行解析,递归查找出所有内嵌文件,从而得到文档嵌套信息,以便于后续步骤判断所述复合文档是否具有异常的多重嵌套行为,进而判定所述复合文档是否具有恶意行为,其中为准确评估多重嵌套行为是否存在异常,文档嵌套信息优选包括内嵌文件层数、最里层内嵌文件的格式、最里层内嵌文件释放后与所述复合文档的大小比值中的一种或任意多种。步骤102:根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。本步骤中,根据文档嵌套信息,判断复合文档是否具有异常的多重嵌套行为,进而判定复合文档是否具有恶意行为,具体可以包括:(1)判断所述内嵌文件层数是否超出预设嵌套层数阈值为传递信息的需要,复合文档可以有一定数量的多重嵌套,然而一般来说,内嵌文件层数为2层或3层即可满足需要,如果内嵌文件层数过多,超出预设嵌套层数阈值,则可怀疑该复合文档具有恶意行为。该预设嵌套层数阈值可以为4层或以上层数,如5层、6层、8层等,具体可以根据安全等级需要灵活设置,当安全等级要求较高时,则可以将该预设嵌套层数阈值设置的小一些(甚至包括3层),以提高检测灵敏度,当安全等级要求较低时,则可以将该预设嵌套层数阈值设置的大一些,以提高检测准确率。(2)判断所述最里层内嵌文件的格式是否为具有独立代码执行能力的文件对最里层内嵌文件进行格式识别,如果其为具有独立代码执行能力的文件时,由于可能为恶意代码,故可怀本文档来自技高网...
【技术保护点】
1.一种复合文档安全检测方法,其特征在于,包括;/n解析待检测的复合文档,得到文档嵌套信息;/n根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。/n
【技术特征摘要】
1.一种复合文档安全检测方法,其特征在于,包括;
解析待检测的复合文档,得到文档嵌套信息;
根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。
2.根据权利要求1所述的复合文档安全检测方法,其特征在于,所述文档嵌套信息包括内嵌文件层数、最里层内嵌文件的格式、最里层内嵌文件释放后与所述复合文档的大小比值中的一种或任意多种。
3.根据权利要求2所述的复合文档安全检测方法,其特征在于,所述根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为,包括:
判断所述内嵌文件层数是否超出预设嵌套层数阈值、和/或判断所述最里层内嵌文件的格式是否为具有独立代码执行能力的文件、和/或判断所述最里层内嵌文件释放后与所述复合文档的大小比值是否超出预设大小比值阈值;
如果上述判断条件中有两条符合时,判定所述复合文档具有恶意行为。
4.根据权利要求3所述的复合文档安全检测方法,其特征在于,所述具有独立代码执行能力的文件包括二进制可执行文件或脚本文件。
5.一种复合文档安全检测装置,其特征在于,包括:
解析模块,用于解析待检测的复合文档,得到文档嵌套信息;
判断模块,用于根据所述文档嵌套信息,判断所述复合文档是否具有恶意行为。
6.根据权利要求5所述的复合文档安全检测装置,其特征在于,所述文档嵌套信...
【专利技术属性】
技术研发人员:薛晨龙,童志明,何公道,
申请(专利权)人:哈尔滨安天科技集团股份有限公司,
类型:发明
国别省市:黑龙;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。