CN104239800B - Pdf中触发漏洞威胁的检测方法及装置 - Google Patents
Pdf中触发漏洞威胁的检测方法及装置 Download PDFInfo
- Publication number
- CN104239800B CN104239800B CN201410510251.4A CN201410510251A CN104239800B CN 104239800 B CN104239800 B CN 104239800B CN 201410510251 A CN201410510251 A CN 201410510251A CN 104239800 B CN104239800 B CN 104239800B
- Authority
- CN
- China
- Prior art keywords
- string value
- uri
- processor
- cmd
- bat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 67
- 230000001960 triggered effect Effects 0.000 title claims abstract description 16
- 238000010276 construction Methods 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 18
- 241000283726 Bison Species 0.000 claims description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000007547 defect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种PDF中触发漏洞威胁的检测方法及装置,涉及信息安全领域,通过对PDF文件的解析以及检测,及时发现cve‑2007‑3896的系统漏洞可能被触发的威胁,并对该文件进行报警提示。本发明主要的技术方案为:解析PDF文件识别统一资源标识符URI入口,对URI入口的字符串值进行检测,确定字符串值包含的处理器后面是否紧跟%字符,并且字符串值中是否存在.cmd或.bat的字符串值,若字符串值包含的处理器后面紧跟%字符,并且字符串值中存在.cmd或.bat的字符串值,则发出报警信息,提示PDF文件存在构造触发cve‑2007‑3896漏洞的威胁。本发明主要用于检测PDF文件安全性。
Description
技术领域
本发明涉及信息安全领域,特别是涉及一种PDF中触发漏洞威胁的检测方法及装置。
背景技术
随着信息技术的发展,软件功能的强大,随之产生的庞大的源代码数量导致了要消除源代码中存在的设计漏洞或实现漏洞越来越困难,从而黑客可以利用漏洞对系统进行破坏甚至入侵系统。
漏洞是存在于一个系统内的弱点或缺陷,这些弱点或缺陷导致系统对某一特定的威胁攻击或危险事件具有敏感性,或具有进行攻击威胁的可能性。漏洞一般分为功能性逻辑漏洞和安全性逻辑漏洞,功能性逻辑漏洞影响软件的正常功能,如执行结果错误、执行流程错误等,而安全性逻辑漏洞一般情况下不影响软件的正常功能,但如果漏洞被攻击者成功利用后,有可能造成软件运行错误甚至执行恶意代码,如网站中的跨站脚本漏洞、SQL注入漏洞等。
由于信息系统已被广泛应用到国家的各个领域,加之近年来漏洞的数量呈明显上升趋势,信息系统的安全显得尤为重要,因此发现信息系统的漏洞检测技术也成为了当前的重点研究方向。目前常用的检测方法是通过对源代码依据一定规则分析来实现检测目的,因此这种方法需要建立源代码的特征库和规则库,然而随着漏洞数量的增加,特征库也随之不断扩大,使得检测效率不断降低,同时,由于特征库的内容需要不断更新,常会出现更新不及时带来的误报及漏报情况。
发明内容
有鉴于此,本发明提供的一种PDF中触发漏洞威胁的检测方法及装置,通过对PDF文件的解析以及检测,及时发现cve-2007-3896的系统漏洞可能被触发的威胁,并对该文件进行报警提示。
依据本发明一个方面,提出了一种PDF中触发漏洞威胁的检测方法,该方法包括:
解析PDF文件识别统一资源标识符URI入口;
对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值;
若所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值,则发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。
依据本发明另一个方面,提出了一种PDF中触发漏洞威胁的检测装置,该包括:
解析识别单元,用于解析PDF文件并且识别统一资源标识符URI入口;
检测单元,用于对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值;
发送单元,用于当检测单元检测出所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值时,发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明所采用的一种PDF中触发漏洞威胁的检测方法及装置,能够在通过对PDF文件进行解析,识别URI入口,再对该入口的字符串值检测,当该字符串值中包含的处理器后面紧跟%字符,同时存在.cmd或.bat的字符串值时,认为该PDF文件存在触发cve-2007-3896漏洞的威胁,并且进行程序报警。相对于依靠特征库与规则库进行对比的检测方法,本发明所采用的检测方法及装置中所使用的上述检测逻辑,仅针对该cve-2007-3896漏洞,对该中类型漏洞的检测非常有针对性,不需要建立庞大的特征库与规则库,从而减少了建立和使用特征库与规则库的时间,提高了检测的效率,同时,也避免了由于特征库与规则库没有及时更新所导致的误报和漏报的情况,进而提高了检测的准确率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种PDF中触发漏洞威胁的检测方法流程图;
图2示出了本发明实施例提供的一种PDF中触发漏洞威胁的检测装置结构示意图;
图3示出了本发明实施例提供的另一种PDF中触发漏洞威胁的检测装置结构示意图;
图4示出了本发明实施例提供的另一种PDF中触发漏洞威胁的检测装置结构示意图;
图5示出了本发明实施例提供的另一种PDF中触发漏洞威胁的检测装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供一种PDF中触发漏洞威胁的检测方法,如图1所示,该方法包括:
101、解析PDF文件识别统一资源标识符URI入口。
结构化的文档格式可移植文档格式(Portable Document Format,PDF)是由美国排版与图像处理软件公司Adobe于1993年首次提出的,是一种电子文件格式。这种文件格式与操作系统平台无关,也就是说,PDF文件不管是在Windows,Unix还是在苹果公司的Mac OS操作系统中都是通用的。这一性能使它成为在Internet上进行电子文档发行和数字化信息传播的理想文档格式。
PDF的结构可以从文件结构和逻辑结构两个方面来理解,PDF的文件结构指的是其文件物理组织方式,逻辑结构则指的是其内容的逻辑组织方式。其中,PDF的文件结构(即物理结构)包括四个部分:文件头(Header)、文件体(Body)、交叉引用表(Cross-referenceTable)和文件尾(Trailer):
文件头(Header)指明了该文件所遵从PDF规范的版本号,它出现在PDF文件的第一行。如%PDF-1.6表示该文件格式符合PDF1.6规范。文件体(Body)由一系列的PDF间接对象组成。这些间接对象构成了PDF文件的具体内容如字体、页面、图像等等。交叉引用表(Cross-reference Table)则是为了能对间接对象进行随机存取而设立的一个间接对象地址索引表。文件尾(Trailer)声明了交叉引用表的地址,指明文件体的根对象(Catalog),还保存了加密等安全信息。根据文件尾提供的信息,PDF的应用程序可以找到交叉引用表和整个PDF文件的根对象,从而控制整个PDF文件。
PDF文件的基本元素是PDF对象(PDF Object),PDF对象包括直接对象(DirectObject)和间接对象(Indirect Object);其中直接对象如下几种基本类型:布尔型(Boolean)、数值型(Number)、字符串型(String)、名字型(Name)、数组型(Array)、字典型(Dictionary)、流对象(Stream)以及空对象(Null);间接对象是一种标识了的PDF对象,这个标识称为间接对象的ID。标识的目的是为了让别的PDF对象引用。任何PDF对象标识后都变成了间接对象。
一个PDF文件是由一个由基本数据类型组成的数据结构,而解析PDF文件是通过以PDF文件为输入,以flex和bison的词法语法分析为原理,然后填充一个大的PDF文件格式数据结构为结果来实现的。
通过以flex和bison的词法语法按照PDF格式文档的说明解析一个PDF文件,可以识别出文件头、文件体和文件尾信息,这些信息中又包含了众多的PDF对象信息,将这些解析出来的PDF对象信息再填充到一个PDF的文件格式数据结构中,就完成了PDF的解析工作。在完成PDF的解析工作后,还需要对解析出来的PDF对象信息进行筛查,查找出格式为/URI的PDF对象信息,并将此PDF对象信息标示为URI入口。
102、对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值。
统一资源标识符(Uniform Resource Identifier,URI)是一个用于标识某一互联网资源名称的字符串。该种标识允许用户对网络中的资源通过特定的协议进行交互操作。URI由包括确定语法和相关协议的方案所定义。一般由三部分组成:访问资源的命名机制;存放资源的主机名;资源自身的名称,由路径表示。
在确定PDF文件中存在格式为/URI的PDF对象信息后,即存在URI入口,对该URI入口的字符串值进行检测,检测的具体内容是确定该字符串值中包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值。
例如,http:%xx../../../../../../../../../../../windows/system32/calc.exe".bat。其中,字符串值中包含的处理器为mailto、news、nntp、snews、telnet或者http,对于具体的处理器种类本发明实施例不进行具体限定。
在检测处理器后面紧跟%字符和检测.cmd或.bat的字符串值时,可以采用先确定字符串值中包含的处理器后面是否紧跟%字符,若存在紧跟处理器的%字符,再确定字符串值中是否存在.cmd或.bat的字符串值的方式;也可以采用先确定字符串值中是否存在.cmd或.bat的字符串值,若存在.cmd或.bat的字符串值,再确定字符串值中包含的处理器后面是否紧跟%字符的方式,以上两种方式的目的就是确定字符串值中同时包含有处理器后面是否紧跟%字符和存在.cmd或.bat的字符串值的两个特征,对于具体的检测方式,本实施例不进行具体限定。
103、若所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值,则发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。
cve-2007-3896漏洞是Windows shell(shell32.dll)在使用所注册的URI处理器(如mailto、news、nntp、snews、telnet、http等)处理特制URI时存在输入验证错误,远程攻击者可能利用此漏洞诱使用户运行程序。如果用户使用Windows上所安装的IE 7访问了恶意站点,或点击了包含有“%”字符且以某些扩展名(如.bat或.cmd)结束的特制URI的话,就可能导致启动任意程序。
经过步骤102的检测,当PDF文件中的URI入口的字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值时,系统将发出报警信息,提示该PDF文件存在构造触发cve-2007-3896漏洞的威胁。该报警提示信息的内容可以为该PDF文件的文件名或该PDF文件的存储路径,也可以是该PDF文件所构成威胁的等级提示;而该提示信息的形式可以是弹提示框的形式,也可以是图标或者文本页面的形式提示,本发明实施例对该报警信息的具体内容及形式不进行具体限定。
基于上述的PDF中触发漏洞威胁的检测方法,本发明实施例还提供一种PDF中触发漏洞威胁的检测装置,如图2所示,该装置包括:
解析识别单元21,用于解析PDF文件并且识别统一资源标识符URI入口。
检测单元22,用于对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值。
输出单元23,用于当检测单元22检测出所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值时,发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。
进一步的,所述PDF中触发漏洞威胁的检测装置中,如图3所示,所述解析识别单元21包括:
获取模块211,用于解析PDF文件获取所述PDF文件的文件格式信息。
查询模块212,用于从获取模块获211取的所述文件格式信息中查找名name的格式为/URI的URI入口。
进一步的,所述PDF中触发漏洞威胁的检测装置中,如图4所示,所述检测单元22包括:
第一检测模块221,用于检测所述URI入口的字符串值时,确定所述字符串值包含的处理器后面是否紧跟%字符。
第二检测模块222,用于当第一检测模块确定所述字符串值包含的处理器后面紧跟%字符时,检测所述字符串值中是否存在.cmd或.bat的字符串值。
进一步的,所述PDF中触发漏洞威胁的检测装置中,如图5所示,所述检测单元22还包括:
第二检测模块222,还用于检测所述URI入口的字符串值时,确定所述字符串值中是否存在.cmd或.bat的字符串值。
第三检测模块223,用于当第二检测模块确定所述字符串值存在.cmd或.bat的字符串值时,检测所述字符串值包含的处理器后面是否紧跟%字符。
进一步的,所述PDF中触发漏洞威胁的检测装置中,所述处理器为mailto、news、nntp、snews、telnet或者http。
本发明所采用的一种PDF中触发漏洞威胁的检测方法及装置,能够在通过对PDF文件进行解析,识别URI入口,再对该入口的字符串值检测,当该字符串值中包含的处理器后面紧跟%字符,同时存在.cmd或.bat的字符串值时,认为该PDF文件存在触发cve-2007-3896漏洞的威胁,并且进行程序报警。相对于依靠特征库与规则库进行对比的检测方法,本发明所采用的检测方法及装置中所使用的上述检测逻辑,仅针对该cve-2007-3896漏洞,对该中类型漏洞的检测非常有针对性,不需要建立庞大的特征库与规则库,从而减少了建立和使用特征库与规则库的时间,提高了检测的效率,同时,也避免了由于特征库与规则库没有及时更新所导致的误报和漏报的情况,进而提高了检测的准确率。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种PDF中触发漏洞威胁的检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (8)
1.一种PDF中触发漏洞威胁的检测方法,其特征在于,包括:
以flex和bison的词法语法解析PDF文件识别统一资源标识符URI入口;
对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值;
若所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值,则发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁,所述报警信息的内容包括所述PDF文件的文件名以及文件的存储路径;
所述解析PDF文件识别URI入口包括:解析PDF文件获取所述PDF文件的文件格式信息;从所述文件格式信息中查找名name的格式为/URI的URI入口。
2.根据权利要求1所述的方法,其特征在于,对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值包括:
检测所述URI入口的字符串值,确定所述字符串值包含的处理器后面是否紧跟%字符;
若确定所述字符串值包含的处理器后面紧跟%字符,则检测所述字符串值中是否存在.cmd或.bat的字符串值。
3.根据权利要求1所述的方法,其特征在于,对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值包括:
检测所述URI入口的字符串值,确定所述字符串值中是否存在.cmd或.bat的字符串值;
若确定所述字符串值存在.cmd或.bat的字符串值,则检测所述字符串值包含的处理器后面是否紧跟%字符。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述处理器为mailto、news、nntp、snews、telnet或者http。
5.一种PDF中触发漏洞威胁的检测装置,其特征在于,包括:
解析识别单元,用于以flex和bison的词法语法解析PDF文件并且识别统一资源标识符URI入口;
检测单元,用于对URI入口的字符串值进行检测,确定所述字符串值包含的处理器后面是否紧跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值;
输出单元,用于当检测单元检测出所述字符串值包含的处理器后面紧跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值时,发出报警信息,提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁,所述报警信息的内容包括所述PDF文件的文件名以及文件的存储路径;
所述解析识别单元包括:获取模块,用于解析PDF文件获取所述PDF文件的文件格式信息;
查询模块,用于从获取模块获取的所述文件格式信息中查找名name的格式为/URI的URI入口。
6.根据权利要求5所述的检测装置,其特征在于,所述检测单元包括:
第一检测模块,用于检测所述URI入口的字符串值时,确定所述字符串值包含的处理器后面是否紧跟%字符;
第二检测模块,用于当第一检测模块确定所述字符串值包含的处理器后面紧跟%字符时,检测所述字符串值中是否存在.cmd或.bat的字符串值。
7.根据权利要求5所述的检测装置,其特征在于,所述检测单元还包括:
第二检测模块,还用于检测所述URI入口的字符串值时,确定所述字符串值中是否存在.cmd或.bat的字符串值;
第三检测模块,用于当第二检测模块确定所述字符串值存在.cmd或.bat的字符串值时,检测所述字符串值包含的处理器后面是否紧跟%字符。
8.根据权利要求5-7中任一项所述的检测装置,其特征在于,所述处理器为mailto、news、nntp、snews、telnet或者http。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510251.4A CN104239800B (zh) | 2014-09-28 | 2014-09-28 | Pdf中触发漏洞威胁的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510251.4A CN104239800B (zh) | 2014-09-28 | 2014-09-28 | Pdf中触发漏洞威胁的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104239800A CN104239800A (zh) | 2014-12-24 |
| CN104239800B true CN104239800B (zh) | 2017-10-13 |
Family
ID=52227842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410510251.4A Expired - Fee Related CN104239800B (zh) | 2014-09-28 | 2014-09-28 | Pdf中触发漏洞威胁的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104239800B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109948123B (zh) * | 2018-11-27 | 2023-06-02 | 创新先进技术有限公司 | 一种图像合并方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
| CN103310150A (zh) * | 2012-03-13 | 2013-09-18 | 百度在线网络技术(北京)有限公司 | 一种检测pdf漏洞的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8370934B2 (en) * | 2009-06-25 | 2013-02-05 | Check Point Software Technologies Ltd. | Methods for detecting malicious programs using a multilayered heuristics approach |
-
2014
- 2014-09-28 CN CN201410510251.4A patent/CN104239800B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826139A (zh) * | 2009-12-30 | 2010-09-08 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
| CN103310150A (zh) * | 2012-03-13 | 2013-09-18 | 百度在线网络技术(北京)有限公司 | 一种检测pdf漏洞的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104239800A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763928B (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| US11848913B2 (en) | Pattern-based malicious URL detection | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| US10621349B2 (en) | Detection of malware using feature hashing | |
| Wang et al. | Jsdc: A hybrid approach for javascript malware detection and classification | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| CN106407803B (zh) | Sql注入漏洞的检测方法及装置 | |
| EP3371953B1 (en) | System and methods for detecting domain generation algorithm (dga) malware | |
| US11647032B2 (en) | Apparatus and method for classifying attack groups | |
| CN106384048A (zh) | 一种威胁信息处理方法与装置 | |
| EP3566166A1 (en) | Management of security vulnerabilities | |
| KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| CN105354494A (zh) | 网页数据篡改的检测方法及装置 | |
| CN105306467A (zh) | 网页数据篡改的分析方法及装置 | |
| Li et al. | Large-scale third-party library detection in android markets | |
| US20230252136A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
| CN105468975A (zh) | 恶意代码误报的追踪方法、装置及系统 | |
| Jaeger et al. | Normalizing security events with a hierarchical knowledge base | |
| CN104239800B (zh) | Pdf中触发漏洞威胁的检测方法及装置 | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| EP4386597A1 (en) | Cyber threat information processing device, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN104462966B (zh) | Pdf中触发漏洞威胁的检测方法及装置 | |
| CN115310087A (zh) | 一种基于抽象语法树的网站后门检测方法和系统 | |
| Li et al. | LogKernel: A threat hunting approach based on behaviour provenance graph and graph kernel clustering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210617 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Beijing Hongteng Intelligent Technology Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee before: Beijing Hongteng Intelligent Technology Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171013 |