本申请公开了一种上传文件威胁检测方法及装置、计算机可读存储介质,本申请提供的方案包括:获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名;根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;将检测为可执行程序的目标上传文件确定为威胁文件。本申请可以有效检测上传文件中的恶意文件,降低Web网站被威胁攻击的风险。Web网站被威胁攻击的风险。Web网站被威胁攻击的风险。
【技术实现步骤摘要】
上传文件威胁检测方法及装置、计算机可读存储介质
[0001]本申请涉及车辆安全
,尤其涉及一种上传文件威胁检测方法及装置、计算机可读存储介质。
技术介绍
[0002]用户在使用Web网站过程中上传的文件中可能潜存的各种威胁攻击行为,为了降低网站被恶意攻击的风险,通常系统充许的上传的文件类型限定于一定的范围内,例如图片文件,或者文本文件。
[0003]但是非法用户会通过篡改上传文件类型等手段规避这种限制,由此造成上传的文件实际为恶意文件,在文件使用的后期产生更多的安全问题,从而对网络环境与硬件资产所形成安全威胁。
[0004]如何有效检测上传文件中的恶意文件,降低Web网站被威胁攻击的风险,提高Web网站的安全性,是目前需要解决的技术问题。
技术实现思路
[0005]本申请实施例的目的是提供一种上传文件威胁检测方法及装置、计算机可读存储介质,用以解决潜在的恶意上传文件导致Web网站被威胁攻击的问题。
[0006]为了解决上述技术问题,本说明书是这样实现的:
[0007]第一方面,提供了一种上传文件威胁检测方法,包括:获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展 MINE类型与文件扩展名;根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;将检测为可执行程序的目标上传文件确定为威胁文件。
[0008]可选的,获取上传文件对应的上传日志数据,包括:周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。
[0009]可选的,根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测,包括:识别上传文件对应上传日志数据中的文件头字符,得到上传文件的MINE类型;将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配;若不匹配,则确定所述上传文件为可疑上传文件。
[0010]可选的,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测,包括:从预定规则数据库中获取安全检测规则数据;将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配,确定所述可疑上传文件中是否包含源代码或二进制代码;若相匹配,则确定所述可疑上传文件的内容检测异常,为目标上传文件。
[0011]可选的,在对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前,还包括:创建接收安全检测规则数据的应用程序接口API;通过所述API接收规则管理系统新创建的安全检测规则数据;将接收的安全检测规则数据保存到所述预定规则数据库中。
[0012]可选的,检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序,包括:将所述目标上传文件放入威胁检测沙箱进行检测;若所述目标上传文件在所述威胁检测沙箱中可被执行,则检测出所述目标上传文件为可执行程序。
[0013]可选的,在将检测为可执行程序的目标上传文件确定为威胁文件之前,还包括:检测所述目标上传文件是否存在外部访问行为;若存在,则获取所述外部访问行为对应的IP地址和域名中至少一项;将所述外部访问行为对应的IP 地址和域名中至少一项与预定威胁情报库中的威胁信息进行匹配,所述威胁情报库用于存储IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系;将匹配到威胁信息的目标上传文件确定为威胁文件。
[0014]可选的,在将检测为可执行程序的目标上传文件确定为威胁文件之后,还包括:向安全运维系统发送所述威胁文件关联的威胁特征信息,所述威胁特征信息包括所述威胁文件的文件名、文件唯一标识符、文件内容异常信息描述及可执行程序威胁信息描述。
[0015]第二方面,提供了一种上传文件威胁检测装置,包括存储器和与所述存储器电连接的处理器,所述存储器存储有可在所述处理器运行的计算机程序,该计算机程序被该处理器执行时实现如第一方面所述的方法的步骤。
[0016]第三方面,提供了一种计算机可读存储介质,该计算机可读存储介质上存储计算机程序,该计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
[0017]在本申请实施例中,通过首先对上传文件的日志MINE类型与文件扩展名进行一致性检测确定可疑上传完文件,然后对可疑上传文件的内容文本进行安全检测,对于内容异常的上传文件再进行可执行程序检测来确定威胁文件,由此对上传文件进行多重威胁判断的安全检测,能够更深入、更精确地发现恶意上传文件潜在的安全风险。通过本申请实施例,可在文件上传的早期发现潜在威胁,减少后续攻击事件的发生,帮助安全运维人员发现威胁并进行安全应急响应。
附图说明
[0018]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0019]图1是本申请实施例的上传文件威胁检测方法的流程示意图。
[0020]图2是本申请实施例的上传文件威胁检测方法的应用场景示意图。
[0021]图3是本申请实施例的上传文件威胁检测方法示例图。
[0022]图4是本申请实施例的上传文件威胁检测装置的结构示意图。
具体实施方式
[0023]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申
请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本申请中附图编号仅用于区分方案中的各个步骤,不用于限定各个步骤的执行顺序,具体执行顺序以说明书中描述为准。
[0024]为了解决现有技术中存在的问题,本申请实施例提供一种上传文件威胁检测方法,图1是本申请实施例的上传文件威胁检测方法的流程示意图。如图1 所示,包括以下步骤:
[0025]步骤102,获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名。
[0026]用户上传文件时会产生记录日志,文件上传系统将对应的上传日志信息的历史性文本存储下来。
[0027]可选的,获取上传文件对应的上传日志数据,包括:周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。
[0028]本申请中,可以在文件上传存储系统安装数据代理服务软件,例如NXLog 数据代理服务来收集文件上传存储系统服务器上存储的上传日志。周期性接收数据代理服务软件例如以Syslog网络协议格式发送的上传日志数据。在获取到上传日志数据后,对上传日志数据的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种上传文件威胁检测方法,其特征在于,包括:获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名;根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;将检测为可执行程序的目标上传文件确定为威胁文件。2.如权利要求1所述的方法,其特征在于,获取上传文件对应的上传日志数据,包括:周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。3.如权利要求1所述的方法,其特征在于,根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测,包括:识别上传文件对应上传日志数据中的文件头字符,得到上传文件的MINE类型;将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配;若不匹配,则确定所述上传文件为可疑上传文件。4.如权利要求1所述的方法,其特征在于,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测,包括:从预定规则数据库中获取安全检测规则数据;将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配,确定所述可疑上传文件中是否包含源代码或二进制代码;若相匹配,则确定所述可疑上传文件的内容检测异常,为目标上传文件。5.如权利要求4所述的方法,其特征在于,在对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前,还包括:创建接收安全检测规则数据的应用...
【专利技术属性】
技术研发人员:盛洋,
申请(专利权)人:新浪网技术中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。