一种解压炸弹的检测防御方法、系统、介质及电子设备技术方案

本申请提供一种解压炸弹的检测防御方法、系统、计算机可读存储介质和电子设备。该方法中，基于解压炸弹数据库，根据接收到的前端获取的压缩文件的哈希值，对压缩文件进行哈希检测，确定压缩文件是否为解压炸弹；当压缩文件通过哈希检测，接收压缩文件上传，根据预设压缩比阈值对压缩文件进行压缩比检测，确定压缩文件是否为待观察文件；当压缩文件为待观察文件，在隔离沙箱中对压缩文件进行解压缩，并对解压缩后的文件进行解压检测，确定压缩文件是否为解压炸弹；当在隔离沙箱中对压缩文件进行解压检测，根据隔离沙箱的预设CPU阈值和预设内存阈值，对压缩文件解压检测时隔离沙箱的CPU及内存进行异常检测，确定压缩文件是否为解压炸弹。解压炸弹。解压炸弹。

【技术实现步骤摘要】
一种解压炸弹的检测防御方法、系统、介质及电子设备


[0001]本申请涉及安全
，特别涉及一种解压炸弹的检测防御方法、系统、计算机可读存储介质和电子设备。

技术介绍

[0002]解压炸弹是一种精心构造的压缩包，炸弹文件中有大量刻意重复的数据，这种重复数据在压缩的时候是可以被丢弃的，因而体积很小。但是，解压缩后，文件的体积却十分巨大，甚至达到PB级别，造成内存和CPU资源大量消耗，以至于服务器宕机。
[0003]解压炸弹还可能存在病毒，能躲避云服务器查杀和普通杀毒软件，在解压中会自动窃取用户信息；解压炸弹还有可能会携带脚本，例如格式化脚本，脚本在解压时运行，当解压完成后，硬盘也同时被格式化了。而且，在一些实际业务场景中，会出现上传压缩文件，而上传后的文件会自动解压，因而，需要对解压炸弹进行有效的检测防御，以保证服务器和信息安全。
[0004]因而，亟需提供一种针对上述现有技术不足的技术方案。

技术实现思路

[0005]本申请的目的在于提供一种解压炸弹的检测防御方法、系统、计算机可读存储介质和电子设备，以解决或缓解上述现有技术中存在的问题。
[0006]为了实现上述目的，本申请提供如下技术方案：本申请提供一种解压炸弹的检测防御方法，包括：步骤S1、哈希检测：基于预先构建的解压炸弹数据库，根据接收到的前端获取的压缩文件的哈希值，对所述压缩文件进行哈希检测，确定所述压缩文件是否为解压炸弹；步骤S2、压缩比检测：响应于所述压缩文件通过所述哈希检测，接收所述压缩文件上传，并获取所述压缩文件的压缩比，根据预设压缩比阈值对所述压缩文件进行压缩比检测，确定所述压缩文件是否为待观察文件；步骤S3、解压检测：响应于所述压缩文件为所述待观察文件，在隔离沙箱中对所述压缩文件进行解压缩，并对解压缩后的文件进行解压检测，确定所述压缩文件是否为解压炸弹；其中，所述解压检测包括文件数量检测、文件内容值检测和文件数据重复度检测；步骤S4、异常检测：响应于在所述隔离沙箱中对所述压缩文件进行解压检测，根据所述隔离沙箱的预设CPU阈值和预设内存阈值，对所述压缩文件解压检测时所述隔离沙箱的CPU及内存进行异常检测，确定所述压缩文件是否为解压炸弹；其中，所述异常检测包括所述隔离沙箱的。
[0007]优选的，步骤S1包括：根据接收到的前端获取的所述压缩文件的哈希值，查询所述解压炸弹数据库中是否存在所述压缩文件，根据查询结果确定所述压缩文件是否为解压炸弹。
[0008]优选的，步骤S2包括：响应于所述解压炸弹数据库中不存在所述压缩文件，则接收上传的所述压缩文件，并计算所述压缩文件的压缩比；将所述压缩文件的压缩比与所述预设压缩比阈值进行比对，响应于所述压缩文件的压缩比大于等于所述预设压缩比阈值，则
所述压缩文件为所述待观察文件。
[0009]优选的，在步骤S3中，响应于所述压缩文件为所述待观察文件，在所述隔离沙箱中依次对所述压缩文件进行所述文件数量检测、所述文件内容值检测和所述文件数据重复度检测，确定所述压缩文件是否为解压炸弹。
[0010]优选的，步骤S3包括：根据所述压缩文件的大小以及预设最大文件数量阈值、最大解压内容阈值，创建所述隔离沙箱；在所述隔离沙箱中对所述压缩文件进行解压缩，对所述压缩文件的解压文件数量与所述预设最大文件数量阈值进行比对；响应于所述压缩文件的解压文件数量大于等于所述预设最大文件数量阈值，则所述压缩文件为解压炸弹；响应于所述压缩文件的解压文件数量小于所述预设最大文件数量阈值，对所述压缩文件的解压内容进行遍历操作，循环获取所述解压内容，并对每次获取的所述解压内容的文件数进行累加，得到所述遍历操作的累加值；响应于所述遍历操作的累加值大于等于所述最大解压内容阈值，则所述压缩文件为解压炸弹；响应于所述遍历操作的累加值小于所述最大解压内容阈值，读取所述压缩文件中的文件数据，若所述文件数据中具有相同名称的文件数量大于等于预设数据重复阈值，则所述压缩文件为解压炸弹。
[0011]本申请实施例还提供一种解压炸弹的检测防御系统，包括：哈希检测单元，配置为基于预先构建的解压炸弹数据库，根据接收到的前端获取的压缩文件的哈希值，对所述压缩文件进行哈希检测，确定所述压缩文件是否为解压炸弹；压缩比检测单元，配置为响应于所述压缩文件通过所述哈希检测，接收所述压缩文件上传，并获取所述压缩文件的压缩比，根据预设压缩比阈值对所述压缩文件进行压缩比检测，确定所述压缩文件是否为待观察文件；解压检测单元，配置为响应于所述压缩文件为所述待观察文件，在隔离沙箱中对所述压缩文件进行解压缩，并对解压缩后的文件进行解压检测，确定所述压缩文件是否为解压炸弹；其中，所述解压检测包括文件数量检测、文件内容值检测和文件数据重复度检测；异常检测单元，配置为响应于在所述隔离沙箱中对所述压缩文件进行解压检测，根据所述隔离沙箱的预设CPU阈值和预设内容阈值，对所述压缩文件解压检测时所述隔离沙箱的CPU及内存进行异常检测，确定所述压缩文件是否为解压炸弹；其中，所述异常检测包括所述隔离沙箱的CPU异常检测和内存异常检测。
[0012]本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序为如上任一所述的解压炸弹的检测防御方法。
[0013]本申请实施例还提供一种电子设备，包括：存储器、处理器、以及存在所述存储器中并可在所述处理器上运行的程序，所述处理器执行所述程序时实现如上任一所述的解压炸弹的检测防御方法。
[0014]技术效果：本申请实施例提供的解压炸弹的检测防御技术中，首先，基于预先构建的解压炸弹数据库，根据接收到的前端获取的压缩文件的哈希值，对压缩文件进行哈希检测，确定压缩文件是否为解压炸弹；然后，当压缩文件通过哈希检测，接收压缩文件上传，并获取压缩文件的压缩比，根据预设压缩比阈值对压缩文件进行压缩比检测，确定压缩文件是否为待观察文件；接着，当压缩文件为待观察文件时，在隔离沙箱中对压缩文件进行解压缩，并对解压缩后的文件进行解压检测，确定压缩文件是否为解压炸弹；且，在隔离沙箱中对压缩文件进行解压检测时，根据隔离摄像的预设CPU阈值和预设内容阈值，对压缩文件解压检测时
隔离沙箱的CPU及内存进行异常检测，确定压缩文件是否为解压炸弹。
[0015]籍此，通过哈希检测、压缩比检测，既保证了压缩文件的检测效率，减少后续检测的不必要从操作，降低了服务器压力，又实现了对所有压缩文件的安全检测，不漏检、不错检；解压检测和异常检测同步进行，实现了对压缩文件进行更进一步的防御和深入监测，系统性、规范性、安全性的对解压炸弹进行防御，高效、全面的解决解压炸弹的拒绝服务攻击、携带病毒、自启动窃据信息等问题。
附图说明
[0016]构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。其中：图1为根据本申请的一些实施例提供的一种解压炸弹的检测防御方法的流程示意图；图2为根据本申请的一些实施例提供的解压炸弹的检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种解压炸弹的检测防御方法，其特征在于，包括：步骤S1、哈希检测：基于预先构建的解压炸弹数据库，根据接收到的前端获取的压缩文件的哈希值，对所述压缩文件进行哈希检测，确定所述压缩文件是否为解压炸弹；步骤S2、压缩比检测：响应于所述压缩文件通过所述哈希检测，接收所述压缩文件上传，并获取所述压缩文件的压缩比，根据预设压缩比阈值对所述压缩文件进行压缩比检测，确定所述压缩文件是否为待观察文件；步骤S3、解压检测：响应于所述压缩文件为所述待观察文件，在隔离沙箱中对所述压缩文件进行解压缩，并对解压缩后的文件进行解压检测，确定所述压缩文件是否为解压炸弹；其中，所述解压检测包括文件数量检测、文件内容值检测和文件数据重复度检测；步骤S4、异常检测：响应于在所述隔离沙箱中对所述压缩文件进行解压检测，根据所述隔离沙箱的预设CPU阈值和预设内存阈值，对所述压缩文件解压检测时所述隔离沙箱的CPU及内存进行异常检测，确定所述压缩文件是否为解压炸弹；其中，所述异常检测包括所述隔离沙箱的。2.根据权利要求1所述的解压炸弹的检测防御方法，其特征在于，步骤S1包括：根据接收到的前端获取的所述压缩文件的哈希值，查询所述解压炸弹数据库中是否存在所述压缩文件，根据查询结果确定所述压缩文件是否为解压炸弹。3.根据权利要求1所述的解压炸弹的检测防御方法，其特征在于，步骤S2包括：响应于所述解压炸弹数据库中不存在所述压缩文件，则接收上传的所述压缩文件，并计算所述压缩文件的压缩比；将所述压缩文件的压缩比与所述预设压缩比阈值进行比对，响应于所述压缩文件的压缩比大于等于所述预设压缩比阈值，则所述压缩文件为所述待观察文件。4.根据权利要求1所述的解压炸弹的检测防御方法，其特征在于，在步骤S3中，响应于所述压缩文件为所述待观察文件，在所述隔离沙箱中依次对所述压缩文件进行所述文件数量检测、所述文件内容值检测和所述文件数据重复度检测，确定所述压缩文件是否为解压炸弹。5.根据权利要求4所述的解压炸弹的检测防御方法，其特征在于，步骤S3包括：根据所述压缩文件的大小以及预设最大文件数量阈值、最大解压内容阈值，创建所述隔离沙箱；在所述隔离沙箱中对所述压缩文件进行解压缩，对所述压缩文件的解压文件数量与...

【专利技术属性】
技术研发人员：伍京华，周广娟，曹瑞阳，张亚，孙怡，刘营，
申请(专利权)人：中国矿业大学北京，
类型：发明
国别省市：