本发明专利技术实施例提供一种样本文件的安全漏洞检测方法、装置、电子设备及存储介质,涉及信息安全领域。便于实现对嵌入有病毒的恶意Off i ce文件进行高效检测。所述检测方法包括步骤:获取待检测样本文件,所述待检测样本文件为Off i ce文档文件;根据所述Off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常;若所述特征数据异常,则确定所述Off i ce文档文件存在安全漏洞。本发明专利技术实施例适用于对未知漏洞的Off i ce文档的检测场景中。文档的检测场景中。文档的检测场景中。
【技术实现步骤摘要】
样本文件的安全漏洞检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及信息安全领域,尤其涉及一种样本文件的安全漏洞检测方法、装置、电子设备及存储介质。
技术介绍
[0002]近年来,具有漏洞的恶意Off i ce文档文件常常是攻击者钓鱼攻击的首选,在历次攻击中往往取得极高的攻击效果。这些攻击者中APT组织尤为活跃,通过投递具备0day/1day的恶意Off i ce文件,诱导目标打开,实现恶意代码在目标系统中执行,导致计算机被病毒入侵。
技术实现思路
[0003]有鉴于此,本专利技术提供一种样本文件的安全漏洞检测方法、装置、电子设备及存储介质,便于实现对嵌入有病毒的恶意Off i ce文件进行高效检测。
[0004]为达到上述专利技术目的,采用如下技术方案:
[0005]第一方面,本专利技术实施例提供一种样本文件的安全漏洞检测方法,包括步骤:获取待检测样本文件,所述待检测样本文件为Off i ce文档文件;根据所述Off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常;若所述特征数据异常,则确定所述Off i ce文档文件存在安全漏洞。
[0006]可选的,所述根据所述Off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述Off i ce文档文件的格式为CFB格式文件,则对所述CFB格式文件进行解析,提取所述特征数据;所述特征数据包括文件结构,以及文件结构下的目录数据信息;所述根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常包括:将所述文件结构以及文件结构下的目录数据信息,与对应的特征数据标准对比;若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该CFB格式的Off i ce文档文件的特征数据异常。
[0007]可选的,所述若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该CFB格式的Off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述文件结构为异常,且所述目录数据的大小超过第一预定大小阈值,则判断该CFB格式的Off i ce文档文件的特征数据异常。
[0008]可选的,所述根据所述Off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述Off i ce文档文件的格式为OpenXML格式文件,则对所述OpenXML格式文件进行解析,提取所述特征数据;所述特征数据包括部件,以及OpenXML文件哈希值;所述根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则
中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常包括:将所述部件以及OpenXML文件哈希值,与对应的特征数据标准匹配;若所述部件以及OpenXML文件哈希值与对应的特征数据标准不匹配,则判断该OpenXML格式的Off i ce文档文件的特征数据异常。
[0009]可选的,所述若所述部件以及OpenXML文件哈希值与对应的特征数据标准不匹配,则判断该OpenXML格式的Off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述部件存在异常以及OpenXML文件XML文件存在异常链接或异常数据,且所述部件大小以及异常数据大小超过第二预定大小阈值,则判断该OpenXML格式的Off i ce文档文件的特征数据异常。
[0010]可选的,所述根据所述Off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述Off i ce文档文件的格式为rtf格式文件,则对所述rtf文件格式文件进行解析,提取所述特征数据;所述特征数据包括:字段标识及文本大小;所述根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常包括:将所述字段标识及文本大小,分别与对应的特征数据标准对比;若所述字段标识及文本大小不符合所述特征数据标准,则判断该rtf格式的Off i ce文档文件的特征数据异常。
[0011]可选的,若所述字段标识及文本大小不符合所述特征数据标准,则判断该rtf格式的Off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述rtf格式文件的字段标识存在异常,且存在对应的异常文本;判断所述异常文本的大小;若所述异常文本的大小超过第三预定大小阈值,则判断该rtf格式的Off i ce文档文件的特征数据异常。
[0012]第二方面,本专利技术还实施例提供一种样本文件的安全漏洞检测装置,包括:获取程序单元,用于获取待检测样本文件,所述待检测样本文件为Off i ce文档文件;检测规则程序单元,用于根据所述Off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;对比程序单元,用于根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Off i ce文档文件的特征数据是否异常;确定程序单元,用于若所述特征数据异常,则确定所述Off i ce文档文件存在安全漏洞。
[0013]第三方面,本专利技术还实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行第一方面任一所述的方法。
[0014]第四方面,本专利技术还实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面任一所述的方法。
[0015]本专利技术提供的样本文件的安全漏洞检测方法、装置、电子设备及存储介质,通过步骤:获取待检测样本文件,所述待检测样本文件为Off i ce文档文件;根据所述Off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的Off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所
述Off i ce文档文件的特征数据是否异常;若所述特征数据异常,则确定所述Off i ce文档文件存在安全漏洞。由此便于实现对嵌入有病毒的恶意Off i ce文件进行高效检测。
附图说明
[0016]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种样本文件的安全漏洞检测方法,其特征在于,包括步骤:获取待检测样本文件,所述待检测样本文件为Office文档文件;根据所述Office文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的Office文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Office文档文件的特征数据是否异常;若所述特征数据异常,则确定所述Office文档文件存在安全漏洞。2.如权利要求1所述的方法,其特征在于,所述根据所述Office文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述Office文档文件的格式为CFB格式文件,则对所述CFB格式文件进行解析,提取所述特征数据;所述特征数据包括文件结构,以及文件结构下的目录数据信息;所述根据所述格式的Office文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Office文档文件的特征数据是否异常包括:将所述文件结构以及文件结构下的目录数据信息,与对应的特征数据标准对比;若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该CFB格式的Office文档文件的特征数据异常。3.如权利要求2所述的方法,其特征在于,所述若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该CFB格式的Office文档文件的特征数据异常包括:若根据所述特征数据标准判断所述文件结构为异常,且所述目录数据的大小超过第一预定大小阈值,则判断该CFB格式的Office文档文件的特征数据异常。4.如权利要求1所述的方法,其特征在于,所述根据所述Office文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述Office文档文件的格式为OpenXML格式文件,则对所述OpenXML格式文件进行解析,提取所述特征数据;所述特征数据包括部件,以及OpenXML文件哈希值;所述根据所述格式的Office文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述Office文档文件的特征数据是否异常包括:将所述部件以及OpenXML文件哈希值,与对应的特征数据标准匹配;若所述部件以及OpenXML文件哈希值与对应的特征数据标准不匹配,则判断该OpenXML格式的Office文档文件的特征数据异常。5.如权利要求4所述的方法,其特征在于,所述若所述部件以及OpenXML文件哈希值与对应的特征数据标准不匹配,则判断该OpenXML格式的Office文档文件的特征数据异常包括:若根据所述特征数据标准...
【专利技术属性】
技术研发人员:黄伟强,张慧云,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。