【技术实现步骤摘要】
本专利技术涉及通信安全,特别是涉及一种邮件的脚本或程序附件识别与检测方法、装置及介质。
技术介绍
1、程序文件或脚本类型附件是病毒邮件常用的直接投毒的手段,相比较于垃圾邮件,这些附件更考验邮件服务提供商的反病毒能力,而相比于传统安全厂商,邮件服务提供商在此领域的技术积累相对不足;此外,此类恶意附件通常会使用不少于一种方式对自身进行伪装以逃避杀毒软件的静态扫描,包括但是不限于进行混淆、分步攻击、延迟攻击等。传统的杀毒软件面对静态扫描无法处理的恶意脚本附件,主要采用的是沙箱这种动态防御手段。
2、然而,沙箱作为模拟环境无法完美模拟脚本在物理系统运行的完整过程,且恶意脚本也会不断通过沙箱逃避、延迟释放等方式干扰沙箱的检测,因此沙箱存在模拟不充分和反沙箱逃避难题,这些问题难以保证沙箱在恶意邮件分析中的有效性和可靠性。
技术实现思路
1、本专利技术提供一种邮件的脚本或程序附件识别与检测方法、装置及介质,以解决难以有效识别与检测邮件的威胁程度的问题。
2、获取邮件的脚本或程序附...
【技术保护点】
1.一种邮件的脚本或程序附件识别与检测方法,其特征在于,包括:
2.如权利要求1所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,通过解析工具和数据干扰的方式对所述目标文件进行解压和解码,得到解析文件,具体为:
3.如权利要求2所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,基于预定义的视觉分隔字符集合确定所述目标文件中含有密码的子串集,并对所述子串集进行数据干扰处理,得到备选密码集合,具体为:
4.如权利要求3所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,根据预定义的模式字符串集合和所述视觉分隔字符集...
【技术特征摘要】
1.一种邮件的脚本或程序附件识别与检测方法,其特征在于,包括:
2.如权利要求1所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,通过解析工具和数据干扰的方式对所述目标文件进行解压和解码,得到解析文件,具体为:
3.如权利要求2所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,基于预定义的视觉分隔字符集合确定所述目标文件中含有密码的子串集,并对所述子串集进行数据干扰处理,得到备选密码集合,具体为:
4.如权利要求3所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,根据预定义的模式字符串集合和所述视觉分隔字符集合匹配子串,得到第二备选密码集,具体为:
5.如权利要求3所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,通过去除所述第二备选密码集中符合干扰模式的密码,得到第三备选密码集,具体为:
6.如权利要求1所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,对所述解析文件进行脚本威胁度识别与检测,得到检测结果,具体为:
7.如权利要求6所述的一种邮件的脚本或程序附件识别与检测方法,其特征在于,若所述解析文件是可以被大语言模型识别的类型,则通过所述大语言模型对所述解析文件进行脚本威胁度检测,得到...
【专利技术属性】
技术研发人员:林延中,左自清,
申请(专利权)人:广东盈世计算机科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。