一种文档类型0DAY漏洞检测方法技术

本发明专利技术涉及一种文档类型0DAY漏洞检测方法，通过判断样本是否为恶意文档、所用漏洞是否为0DAY漏洞的分析，实现文档类型的0DAY漏洞的检测发现。针对从网络流量、终端设备、其他系统输出结果中采集到的文档样本，依据其官方公布的格式规范，解析样本数据格式结构，提取敏感数据域的数据内容，通过对ShellCode数据的静态分析、文档打开时行为的动态监测，判断样本是否为恶意文档。对于恶意文档，依据已知漏洞特征库比对、模拟环境下安装不同补丁的比较测试、人工分析等方式，进一步判断是否为0DAY漏洞。该方法针对具体的文档格式开展检测分析，检测时充分考虑了具体文档格式结构、以及敏感结构中的数据内容，使得检测更有针对性、更高效。更高效。更高效。

【技术实现步骤摘要】
一种文档类型0DAY漏洞检测方法


[0001]本专利技术涉及网络安全
，特别涉及软件漏洞检测分析中，一种文档类型0DAY漏洞检测方法。

技术介绍

[0002]随着信息化、数字化办公的不断发展，文档类型的软件功能越来越强大，文档格式也越来越复杂，在方便工作的同时，安全性上也受到越来越多的挑战。由于电子文档使用频繁，针对文档类型的漏洞利用一直是黑客攻击的热点。特别是随着企业文档资产的价值越来越大，针对企业文档等数字资产进行窃取、勒索等恶意攻击行为的破坏性也越来越受到重视。
[0003]在漏洞检测方面，传统的技术方法主要围绕已知漏洞，提取漏洞特征、漏洞利用特征，开展漏洞检测和发现研究。在0DAY漏洞(未公开漏洞)的研究方面，也出现了模糊测试(FUZZING)、基于污点分析、基于行为启发等检测技术，但由于文档格式的特殊性，漏洞的触发与文档结构密切相关，这些技术方法在0DAY漏洞的检测发现方面效率不高。

技术实现思路

[0004]本专利技术提出了一种文档类型0DAY漏洞检测方法，针对不同方式收到到的文档样本，首先断其文档格式本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种文档类型0DAY漏洞检测方法，其特征在于：针对待检测文档，通过恶意文档检测、未公开漏洞的判断两个阶段的检测分析处理，实现文档类型的未公开漏洞的检测和发现；具体包括如下步骤：步骤1、从网络流量、终端设备、或者其他系统输出中采集文档样本：通过部署在目标网络中的软、硬件采集组件，采集网络中传输的流量数据，从中分离出各种类型的文档附件；或者从终端设备中、从其他系统输出结果中采集文档样本；步骤2、对文档样本的类型进行判别：通过文档的文件头格式，辅以文件名后缀，对常用文档格式进行初步判别，确定目标样本的文档格式；步骤3、对文档格式进行解析：根据步骤2中识别出目标样本的文档格式，调用对应的文档格式解析引擎进行处理，对于无法识别出格式类型的文档，交由人工辅助分析处理；步骤4、通过静态分析和动态测试进行恶意文档检测：(1)在步骤3解析出对应格式的敏感区域提取相应数据，对数据内容进行静态分析判断是否存在ShellCode恶意代码；(2)动态调用系统默认的目标样本文档对应的处理程序，监测文档打开时是否存在恶意操作；步骤5、对判断为恶意文档的样本进行已知漏洞检测：(1)基于已知漏洞特征库，静态比对恶意文档的特征，比对成功则判断为该种漏洞；(2)基于多种杀软的组合，对目标恶意文档进行查杀，以确定恶意文档的漏洞类型；步骤6、对于检测为恶意文档的样本进行补丁比较分析：在安装有不同补丁的模拟环境下，对目标恶意文档进行打开测试，如果在具体补丁环境下没能触发恶意行为，则判断该补丁与样本文档的漏洞相对应；步骤7、对于上述步骤仍无法判断的恶意文档进行人工分析判断：对步骤5、6中无法判定漏洞信息的恶意文档，具体进行人工分析，以确认是否为未公开漏洞。2.如权利要求1所述的一种文档类型0DAY漏洞检测方法，其特征在于：所述步骤1中，从网络流量、终端设备、或者其他系统输出采集文档样本，具体为：(1)通过部署在目标网络中的软件组件/系统、或者硬件设备进行采集，并从这些采集到的网络传输流量数据中，分离出各种类型的样本文档附件；(2)从目标网络中的终端设备中采集获取文档样本；(3)从其他系统的处理结果中，批量导入样本文档，如从恶意样本搜集蜜罐中捕获文档，或者其他文档...

【专利技术属性】
技术研发人员：高峻，晏培，杨强浩，张军，王彦丰，
申请(专利权)人：中京天裕科技北京有限公司，
类型：发明
国别省市：