本发明专利技术实施例公开一种文档检测方法及装置,涉及网络安全技术领域。所述方法包括:获取恶意文档集合;解析恶意文档集合,得到恶意文档的加载器函数集合;根据恶意文档的加载器函数集合,建立恶意加载器函数特征库;解析待检测文档,得到待检测文档的加载器函数组合;对比待检测文档的加载器函数组合与恶意加载器函数特征库中的恶意文档的加载器函数组合,根据对比结果得到检测结果。本申请提供的一种文档检测方法及装置,其过程不依赖于shellcode指令自身的特征,而是依赖于其加载方式,即加载器函数,即可实现对已知以及未知shellcode的检测识别,从而实现用少量的特征即完成对待检测文档的检测,增加了检测效率,减少了资源占用。占用。占用。
【技术实现步骤摘要】
一种文档检测方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种文档检测方法及装置。
技术介绍
[0002]复合文档可以理解为一种包括但不限于文字、图表、多媒体等各种信息的工作文档,被越来越多的应用于各种协同工作中。而漏洞代码shellcode是一段用于利用软件漏洞而执行的地址无关代码,攻击者通常将它内嵌至复合文档中攻击用户电脑。
[0003]目前识别shellcode主要依据shellcode指令形成的特征码进行识别,由于shellcode可以随意变化和复原,导致特征码的数量呈爆炸式增长,无法有效涵盖所有shellcode恶意特征。因此,现在急需一种更高效、准确的检测方式来检测识别文档中的shellcode,使用户电脑免受攻击者的攻击。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种文档检测方法及装置,以解决现有识别方法主要依赖于shellcode指令自身的特征从而导致文档识别效率低的问题。
[0005]第一方面,本专利技术实施例提供一种文档检测方法,所述方法包括:
[0006]获取恶意文档集合;
[0007]解析所述恶意文档集合,得到恶意文档的加载器函数集合;所述恶意文档的加载器函数集合包括多个恶意文档的加载器函数组合;所述加载器函数组合包括:申请内存参数、进程操作参数和动态加载参数的API函数;
[0008]根据恶意文档的加载器函数集合,建立恶意加载器函数特征库;
[0009]解析待检测文档,得到待检测文档的加载器函数组合;
[0010]对比所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意文档的加载器函数组合,根据对比结果得到检测结果。
[0011]可选的,在所述解析待检测文档,得到待检测文档的加载器函数组合之前,所述方法还包括:
[0012]确定所述恶意文档的加载器函数集合中各个加载器函数的出现频率;
[0013]根据所述加载器函数的出现频率确定是否将对应的加载器函数添加入预设的加载器函数特征库。
[0014]可选的,所述解析待检测文档,得到待检测文档的加载器函数组合具体为:
[0015]解析待检测文档,得到多个待检测文档的加载器函数;
[0016]确定各个待检测文档的加载器函数与预设的加载器函数特征库中的加载器函数是否相同;
[0017]如果相同,则确定对应的待检测文档的加载器函数为所述目标加载器函数;
[0018]根据多个目标加载器函数得到所述待检测文档的加载器函数组合。
[0019]可选的,所述对比所述待检测文档的加载器函数组合与所述恶意加载器函数特征
库中的恶意文档的加载器函数组合,根据对比结果得到检测结果具体为:
[0020]根据预设顺序确认所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意加载器函数组合是否相同;
[0021]如果相同,则生成第一检测结果;
[0022]如果不同,则生成第二检测结果。
[0023]第二方面,本专利技术实施例提供一种文档检测装置,所述装置包括:
[0024]获取单元,获取恶意文档集合;
[0025]解析单元,解析所述恶意文档集合,得到恶意文档的加载器函数集合;所述恶意文档的加载器函数集合包括多个恶意文档的加载器函数组合;所述加载器函数组合包括:申请内存参数、进程操作参数和动态加载参数的API函数;
[0026]创建单元,根据恶意文档的加载器函数集合,建立恶意加载器函数特征库;
[0027]所述解析单元,还解析待检测文档,得到待检测文档的加载器函数组合;
[0028]对比单元,对比所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意文档的加载器函数组合,根据对比结果得到检测结果。
[0029]可选的,所述装置还包括确认单元,所述确认单元还具体用于:
[0030]确定所述恶意文档的加载器函数集合中各个加载器函数的出现频率;
[0031]根据所述加载器函数的出现频率确定是否将对应的加载器函数添加入预设的加载器函数特征库。
[0032]可选的,所述解析单元还具体用于:
[0033]解析待检测文档,得到多个待检测文档的加载器函数;
[0034]确定各个待检测文档的加载器函数与预设的加载器函数特征库中的加载器函数是否相同;
[0035]如果相同,则确定对应的待检测文档的加载器函数为所述目标加载器函数;
[0036]根据多个目标加载器函数得到所述待检测文档的加载器函数组合。
[0037]可选的,所述对比单元还具体用于:
[0038]根据预设顺序确认所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意加载器函数组合是否相同;
[0039]如果相同,则生成第一检测结果;
[0040]如果不同,则生成第二检测结果。
[0041]第三方面,本公开实施例还提供了一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面所述的文档检测方法。
[0042]第四方面,本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面所述的文档检测方法。
[0043]本专利技术实施例提供的一种文档检测方法及装置,通过提取恶意文档中的加载器函数,建立恶意加载器函数特征库,再将待检测文档的加载器函数与之对比识别待检测文档
中是否存在shellcode,其过程不依赖于shellcode指令自身的特征,而是依赖于其加载方式,即加载器函数,即可实现对已知以及未知shellcode的检测识别,从而实现用少量的特征完成对文档的检测,增加了文档的检测效率,减少了资源占用。
附图说明
[0044]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0045]图1为本专利技术实施例提供的一种文档检测方法的方法流程图;
[0046]图2为本专利技术实施例提供的一种建立预设的加载器函数特征库的方法流程图;
[0047]图3为本专利技术实施例提供的一种文档检测装置的结构示意图;
[0048]图4为本专利技术实施例提供的一种电子设备结构示意图。
具体实施方式
[0049]下面结合附图对本专利技术实施例进行详细描述。
[0050]应当明确,所描述的实施例仅仅是本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种文档检测方法,其特征在于,所述方法包括:获取恶意文档集合;解析所述恶意文档集合,得到恶意文档的加载器函数集合;所述恶意文档的加载器函数集合包括多个恶意文档的加载器函数组合;所述加载器函数组合包括:申请内存参数、进程操作参数和动态加载参数的API函数;根据恶意文档的加载器函数集合,建立恶意加载器函数特征库;解析待检测文档,得到待检测文档的加载器函数组合;对比所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意文档的加载器函数组合,根据对比结果得到检测结果。2.根据权利要求1所述的方法,其特征在于,在所述解析待检测文档,得到待检测文档的加载器函数组合之前,所述方法还包括:确定所述恶意文档的加载器函数集合中各个加载器函数的出现频率;根据所述加载器函数的出现频率确定是否将对应的加载器函数添加入预设的加载器函数特征库。3.根据权利要求2所述的方法,其特征在于,所述解析待检测文档,得到待检测文档的加载器函数组合具体为:解析待检测文档,得到多个待检测文档的加载器函数;确定各个待检测文档的加载器函数与预设的加载器函数特征库中的加载器函数是否相同;如果相同,则确定对应的待检测文档的加载器函数为所述目标加载器函数;根据多个目标加载器函数得到所述待检测文档的加载器函数组合。4.根据权利要求1所述的方法,其特征在于,所述对比所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意文档的加载器函数组合,根据对比结果得到检测结果具体为:根据预设顺序确认所述待检测文档的加载器函数组合与所述恶意加载器函数特征库中的恶意加载器函数组合是否相同;如果相同,则生成第一检测结果;如果不同,则生成第二检测结果。5.一种文档检测装置,其特征在于,所述装置包括:获取单元,获取恶意文档集合;解析单元,解析所述恶意文档集合,得到恶意文档的加载器函数集合;所述恶意文档的加载器函数集合包括多个恶意文档的加载器函数组合;所述加载器函数组合包括:申请内存参数、进程操作参...
【专利技术属性】
技术研发人员:干超,童志明,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。