【技术实现步骤摘要】
本申请涉及网络安全领域,具体涉及一种压缩文件的检测防御方法、装置以及处理设备。
技术介绍
1、解压炸弹是一种特殊设计的压缩文件(解压后文件数量、文件大小或者压缩比大于对应阈值的压缩文),其结构复杂且包含大量重复的数据,在压缩过程中,这些重复的数据可以被有效地剔除,使得文件体积显著减小。然而,一旦对解压炸弹这一类的压缩文件(或者说压缩包)进行解压,则文件体积会瞬间激增,甚至达到pb级别,这无疑给内存资源和cpu计算资源带来了巨大的负担,可能导致服务器宕机。
2、如此需要对解压炸弹进行有效的检测和防御,防范以解压炸弹作为攻击途径的网络攻击,确保服务器的安全。
3、而本申请专利技术人发现,服务器上部署的现有解压炸弹防御策略,涉及到对压缩文件的读取分析,这一处理过程存在着耗时的问题,并且也是需要占用内存资源和cpu计算资源,若是同一时间面临着大量的压缩文件,也可能因为过多的资源开销而导致服务器失去响应。
技术实现思路
1、本申请提供了一种压缩文件的检测防御方法、装置以及处理设备,用于通过引入ip地址黑名单机制,从而可以绕开压缩文件的内容,便捷地对解压炸弹进行有效检测,以此实现轻量级的解压炸弹防御效果。
2、第一方面,本申请提供了一种压缩文件的检测防御方法,方法包括:
3、处理设备获取压缩文件的发送方的ip地址;
4、处理设备将压缩文件的发送方的ip地址与处理设备上预先配置的ip地址黑名单进行匹配,其中,ip地址黑名单描述了检测出解
5、若压缩文件的发送方的ip地址在ip地址黑名单中,则处理设备阻断压缩文件的传输,以及阻断发送方的访问。
6、结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,方法还包括:
7、若压缩文件的发送方的ip地址不在ip地址黑名单中,则处理设备通过哈希算法计算压缩文件的哈希值;
8、处理设备将压缩文件的哈希值与处理设备上预先配置的哈希值黑名单进行匹配,其中,哈希值黑名单描述有确定为解压炸弹的压缩文件所计算得到的哈希值;
9、若压缩文件的哈希值在哈希值黑名单中,则处理设备将压缩文件的发送方的ip地址更新至ip地址黑名单中,以及阻断压缩文件的传输,以及阻断发送方的访问。
10、结合本申请第一方面第一种可能的实现方式,在本申请第一方面第二种可能的实现方式中,方法还包括:
11、若压缩文件的哈希值不在哈希值黑名单中,则处理设备通过cdd-vld算法检测压缩文件解压后的文件数量、文件大小和压缩比,以及检测压缩文件是否存在病毒;
12、若压缩文件解压后的文件数量、文件大小和压缩比中的至少一项大于对应的阈值,或者,若压缩文件存在病毒,则处理设备将压缩文件的发送方的ip地址更新至ip地址黑名单中,以及将压缩文件的哈希值更新至哈希值黑名单中,以及阻断压缩文件的传输,以及阻断发送方的访问。
13、结合本申请第一方面第二种可能的实现方式,在本申请第一方面三种可能的实现方式中,处理设备将压缩文件的哈希值与处理设备上预先配置的哈希值黑名单进行匹配之前,方法还包括:
14、处理设备将压缩文件的哈希值与处理设备上预先配置的哈希值白名单进行匹配,其中,哈希值白名单描述有确定为不是解压炸弹的压缩文件所计算得到的哈希值;
15、若压缩文件的哈希值不在哈希值白名单中,则处理设备触发将压缩文件的哈希值与处理设备上预先配置的哈希值黑名单进行匹配;
16、若压缩文件解压后的文件数量、文件大小和压缩比中的任意一项都小于对应的阈值,或者,若压缩文件未存在病毒,则处理设备将压缩文件的哈希值更新至哈希值白名单中。
17、结合本申请第一方面第三种可能的实现方式,在本申请第一方面第四种可能的实现方式中,处理设备将压缩文件的发送方的ip地址与处理设备上预先配置的ip地址黑名单进行匹配之前,方法还包括:
18、处理设备将压缩文件的发送方的ip地址与处理设备上预先配置的ip地址白名单进行匹配,其中,ip地址白名单描述有确定为不是解压炸弹的发送方的ip地址;
19、若压缩文件的发送方的ip地址不在ip地址白名单中,则处理设备触发将压缩文件的发送方的ip地址与处理设备上预先配置的ip地址黑名单进行匹配。
20、结合本申请第一方面第五种可能的实现方式,在本申请第一方面第一种可能的实现方式中,处理设备获取压缩文件的发送方的ip地址,包括:
21、处理设备在接收到压缩文件之前,获取压缩文件的发送方的ip地址;
22、若发送方的ip地址不在ip地址黑名单中,则处理设备通过哈希算法计算压缩文件的哈希值,包括:
23、若发送方的ip地址不在ip地址黑名单中,则处理设备接收压缩文件;
24、处理设备通过哈希算法计算压缩文件的哈希值。
25、结合本申请第一方面,在本申请第一方面第六种可能的实现方式中,处理设备具体为服务器设备,发送方具体为用户侧客户端。
26、第二方面,本申请提供了一种压缩文件的检测防御装置,装置包括:
27、获取单元,用于获取压缩文件的发送方的ip地址;
28、匹配单元,用于将压缩文件的发送方的ip地址与处理设备上预先配置的ip地址黑名单进行匹配,其中,ip地址黑名单描述了检测出解压炸弹历史上传行为的ip地址或者判定为存在解压炸弹上传行为的ip地址;
29、阻断单元,用于若压缩文件的发送方的ip地址在ip地址黑名单中,则阻断压缩文件的传输,以及阻断发送方的访问。
30、结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,匹配单元,还用于:
31、若压缩文件的发送方的ip地址不在ip地址黑名单中,则通过哈希算法计算压缩文件的哈希值;
32、将压缩文件的哈希值与处理设备上预先配置的哈希值黑名单进行匹配,其中,哈希值黑名单描述有确定为解压炸弹的压缩文件所计算得到的哈希值;
33、若压缩文件的哈希值在哈希值黑名单中,则触发更新单元将压缩文件的发送方的ip地址更新至ip地址黑名单中,以及触发阻断单元阻断压缩文件的传输,以及阻断发送方的访问。
34、结合本申请第二方面第一种可能的实现方式,在本申请第二方面第二种可能的实现方式中,装置还包括检测单元,用于:
35、若压缩文件的哈希值不在哈希值黑名单中,则通过cdd-vld算法检测压缩文件解压后的文件数量、文件大小和压缩比,以及检测压缩文件是否存在病毒;
36、若压缩文件解压后的文件数量、文件大小和压缩比中的至少一项大于对应的阈值,或者,若压缩文件存在病毒,则触发更新单元将压缩文件的发送方的ip地址更新至ip地址黑名单中,以及将压缩文件的哈希值更新至哈希值黑名单中,以及触发阻断单元阻断压缩文件的传输,以及阻本文档来自技高网...
【技术保护点】
1.一种压缩文件的检测防御方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述处理设备将所述压缩文件的哈希值与所述处理设备上预先配置的哈希值黑名单进行匹配之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述处理设备将所述压缩文件的发送方的ip地址与所述处理设备上预先配置的ip地址黑名单进行匹配之前,所述方法还包括:
6.根据权利要求2所述的方法,其特征在于,所述处理设备获取压缩文件的发送方的ip地址,包括:
7.根据权利要求1所述的方法,其特征在于,所述处理设备具体为服务器设备,所述发送方具体为用户侧客户端。
8.一种压缩文件的检测防御装置,其特征在于,所述装置包括:
9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
...【技术特征摘要】
1.一种压缩文件的检测防御方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述处理设备将所述压缩文件的哈希值与所述处理设备上预先配置的哈希值黑名单进行匹配之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述处理设备将所述压缩文件的发送方的ip地址与所述处理设备上预先配置的ip地址黑名单进行匹配之前,所述方法还包括:
6.根据权利要求2所述的方法,其特...
【专利技术属性】
技术研发人员:马征,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。