CN108229164A - 解压炸弹的判断方法及装置 - Google Patents
解压炸弹的判断方法及装置 Download PDFInfo
- Publication number
- CN108229164A CN108229164A CN201611193314.3A CN201611193314A CN108229164A CN 108229164 A CN108229164 A CN 108229164A CN 201611193314 A CN201611193314 A CN 201611193314A CN 108229164 A CN108229164 A CN 108229164A
- Authority
- CN
- China
- Prior art keywords
- compressed file
- bomb
- file packet
- threshold
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种解压炸弹的判断方法,统计压缩文件包内的文件数量是否大于第一阈值;若大于则判断该压缩文件包为解压炸弹。本发明还公开了与上述各判断方法对应的判断装置,其包括第一统计模块及判断输出模块,其中:第一统计模块,用于统计压缩文件包内的文件数量;判断模块,用于当第一统计模块统计的文件数量大于第一阈值时,判断该压缩文件包为解压炸弹。本发明通过对现有解压炸弹的研究分析,提出了从压缩文件包内的文件数量的角度来判断解压炸弹,通过新增的维度来提升解压炸弹检测的准确性及效率,有利于提高反病毒引擎抗解压炸弹DoS攻击的能力。
Description
技术领域
本发明涉及信息应用技术领域,尤其涉及解压炸弹的判断方法及装置。
背景技术
反病毒引擎是装置安全的守护者,保护装置免受恶意代码感染,因此,反病毒引擎自身的安全至关重要,如果反病毒引擎遭到攻击,就可能丧失了保护能力,甚至导致装置拒绝服务。一类典型的针对反病毒引擎的攻击是构造一个称之为解压炸弹的文件,这种压缩文件(zip格式、rar格式等)往往体积并不大,最终解压缩后的文件往往也并没有恶意代码,里面包含了多层嵌套的压缩文件,深层嵌套下的压缩文件解压缩后可能单个文件超过1G字节大小,大量的压缩文件解压会消耗大量的CPU计算能力,占用大量内存和磁盘空间,通过消耗大量资源实现DoS攻击。当反病毒引擎对这个压缩文件进行扫描时,由于反病毒引擎往往会深入检查内部zip包内部文件,于是上述问题便会发生,导致反病毒引擎甚至装置拒绝服务。
目前针对这类解压炸弹的防范技术主要有两种:限制解压缩文件大小和限制解压缩嵌套层数。比如Avast杀毒软件将解压缩后文件大小限制在500M,如果压缩文件解压缩后达到上述阈值,则会被判定为解解压炸弹,不会继续解压该文件以避免DoS攻击(Denial ofService,即拒绝服务,其目的是使计算机或网络无法提供正常的服务)。限制解压层数则是另外一种维度,解压炸弹往往包含了多层内嵌压缩包,最底层是压缩比最大的压缩包,通过限制解压缩的层数,可以减少被消耗的资源,避免DoS攻击。
随着新的解压炸弹出现,这两种手段不能再有效方法DoS攻击,比如发明人遇到过一个解压炸弹,本身大小仅有41.3kb,然而它包含了6层嵌套zip,每层16个压缩文件,最底层包含文件1600多万个。除了最后一层的文件解压后大小为4G之外,其他各层解压缩后都仅为0.3M或者3M,远远小于500M阈值,因此只有到达最底层才会被判定为解压炸弹。如果将解压内嵌层数限制为3,在四核的i5 处理器、8G内存的机器上扫描用时已经达到近9分钟;如果将解压内嵌层数限制为4,则时间将延长为4个小时9分钟。如果阈值设为5或者6,时间势必会更长。这说明基于解压后文件大小和解压层级限制的方法,是有局限的,在这种情形下不能应对解压炸弹的攻击。
发明内容
本发明的目的在于提供一种解压炸弹的判断方法及装置,以提高反病毒引擎抗解压炸弹DoS攻击的能力,其具有适用性强,准确率高的特点。
为了实现上述目的,本发明公开了一种解压炸弹的判断方法,其主要包括以下步骤:
统计压缩文件包内的文件数量是否大于第一阈值,若大于则判断该压缩文件包为解压炸弹。
进一步的,在对压缩文件包内任一个子文件包进行数量统计前,先判断已统计的文件数量是否大于第一阈值,如果大于,则判定该压缩文件包为解压炸弹,停止对该压缩文件包的统计。
为了实现上述目的,本发明还公开了与上述各判断方法对应的判断装置,其包括第一统计模块及判断输出模块,其中:
第一统计模块,用于统计压缩文件包内的文件数量;
判断模块,用于当第一统计模块统计的文件数量大于第一阈值时,判断该压缩文件包为解压炸弹。
进一步的,该第一统计模块包括一用来记录已处理文件个数的计数器,在对压缩文件包内任一个子文件包进行处理前,先判断计数器是否大于设定阈值,如果大于,则停止对该压缩文件包的统计并将统计数量发送给判断输出模块。
本发明与现有技术相比的有益效果是:本发明通过对现有解压炸弹的研究分析,提出了从压缩文件包内的文件数量的角度来判断解压炸弹,通过新增的维度来提升解压炸弹检测的准确性及效率,有利于提高反病毒引擎抗解压炸弹DoS攻击的能力。
附图说明
图1为本发明解压炸弹的判断装置在一些实施例中的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。
本发明说明书主要是从以下几个维度考虑:
(1)统计压缩文件包内的文件数量
(2)统计压缩文件包的大小
(3)统计压缩文件包的层数
其中,(1)为基本方案,即统计压缩文件包内的文件数量是否大于第一阈值,若大于则判断该压缩文件包为解压炸弹。本领域的技术人员可根据实际需要在满足(1)的条件下将上述判断条件进行任意的组合。
实施例1:
一种解压炸弹的判断方法,其主要包括以下步骤:统计压缩文件包内的文件数量是否大于第一阈值,若大于则判断该压缩文件包为解压炸弹。
现在,越来越多的解压炸弹是故意针对限制文件大小及限制文件层数的检测方法而设置的,在该解压炸弹较深的层数才存在比较大的文件,因此解压很久都不会触发相应的阈值,检测时间就会很长。
通过对大量样本进行统计分析,在保证不漏报的情况下,选取了某值作为第一阈值,在该阈值下,本发明的检测效率远高于现有方法。下面针对具体样本情况做些说明。
某zip压缩炸结构如表1所示,该zip压缩炸的md5值D9050D6BA1E86A0DECC926
2DD8F3038D,sha1值为:1C403526E3A858775C88D113DF46ECEA85269964,该zip文件本身大小只有41.3kb,嵌套深度为6层,每个文件解压后包含16个相同的子zip文件,各层文件大小和个数如下表所示,第6层解压后为非zip压缩文件。
表
分别采用(1)基于压缩文件包内的文件数量(2)基于压缩文件包的大小(3)基于压缩文件包的层数三种方案扫描该zip压缩炸弹,记录扫描耗时。另随机从样本库中选取一万个恶意样本,分别利用三种方案扫描,记录漏报率,结果对比如表2所示。
表 2
由上述实验数据可知,基于压缩文件包内的文件数量的方法与统计压缩文件包的大小、统计压缩文件包的层数相比极大提升了检测速率,同时还减少了资源消耗,有利于提高反病毒引擎抗解压炸弹DoS攻击的能力,且保证了反病毒引擎漏报率较低。
为了进一步提升检测效率,在对压缩文件包内任一个子文件包进行数量统计前,可以先判断已统计的文件数量是否大于第一阈值,如果大于,则判定该压缩文件包为解压炸弹,停止对该压缩文件包的统计。
与该判断方法相对应,本发明还公开了一种解压炸弹的判断装置,如图1所示,其包括第一统计模块10及判断输出模块,其中:
第一统计模块10,用于统计压缩文件包内的文件数量。
判断模块40,用于当第一统计模块10统计的文件数量大于第一阈值时,判断该压缩文件包为解压炸弹。
优选的,该第一统计模块10包括一用来记录已处理文件个数的计数器,在对压缩文件包内任一个子文件包进行处理前,先判断计数器是否大于设定阈值,如果大于,则停止对该压缩文件包的统计,并将统计数量发送给判断输出模块,以提升检测效率。
实施例2:
维度1+维度2
为了提升判断的准确性,可以结合其余维度来判断解压炸弹。在一些实施例中,一种解压炸弹的判断方法,其主要包括以下步骤:当压缩文件包内的文件数量大于第一阈值且压缩文件包的大小大于第二阈值时,则判断该压缩文件包为解压炸弹。
与该判断方法相对应的解压炸弹的判断装置,如图1所示,包括第一统计模块10、第二统计模块20及判断模块40,其中:
第一统计模块10,用于统计压缩文件包内的文件数量。
第二统计模块20,用于计算压缩文件包大小的第二统计模块20。
判断模块40,用于当第一统计模块10输出的文件数量大于第一阈值且第二统计模块20输出的文件大小大于第二阈值时,所述判断模块40判断该压缩文件包为解压炸弹。
实施例3:
维度1+维度3
为了提升判断的准确性,可以结合其余维度来判断解压炸弹。在一些实施例中,一种解压炸弹的判断方法,其主要包括以下步骤:当压缩文件包内的文件数量大于第一阈值且压缩文件包的层数大于第三阈值时,则判断该压缩文件包为解压炸弹。
进一步的,当压缩文件包内的文件数量大于第一阈值,压缩文件包的大小大于第二阈值时,且压缩文件包的层数大于第三阈值时,则判断该压缩文件包为解压炸弹。
与该判断方法相对应的解压炸弹的判断装置,如图1所示,包括第一统计模块10、第三统计模块30及判断模块40,其中:
第一统计模块10,用于统计压缩文件包内的文件数量。
第三统计模块30,用于计算压缩文件包文件层数。
判断模块40,用于当第一统计模块10输出的文件数量大于第一阈值且第三统计模块30输出的文件层数大于第三阈值时,所述判断模块40判断该压缩文件包为解压炸弹。
实施例4:
为了提升判断的准确性,可以结合其余维度来判断解压炸弹。在一些实施例中,一种解压炸弹的判断方法,其主要包括以下步骤:压缩文件包内的文件数量大于第一阈值,压缩文件包的大小大于第二阈值时,且压缩文件包的层数大于第三阈值时,则判断该压缩文件包为解压炸弹。
与该判断方法相对应的解压炸弹的判断装置,如图1所示,包括第一统计模块10、第二统计模块20、第三统计模块30及判断模块40,其中:
第一统计模块10,用于统计压缩文件包内的文件数量。
第二统计模块20,用于计算压缩文件包大小的第二统计模块20。
第三统计模块30,用于计算压缩文件包文件层数。
判断模块40,用于当第一统计模块10输出的文件数量大于第一阈值且第二统计模块20输出的文件大小大于第二阈值且第三统计模块30输出的层数大于第三阈值时,所述判断模块40判断该压缩文件包为解压炸弹。
本发明通过对现有解压炸弹的研究分析,提出了从压缩文件包内的文件数量的角度来判断解压炸弹,通过新增的维度来提升解压炸弹检测的准确性及效率,有利于提高反病毒引擎抗解压炸弹DoS攻击的能力。
上述说明示出并描述了本发明的若干实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种解压炸弹的判断方法,其特征在于,包括以下步骤:
统计压缩文件包内的文件数量是否大于第一阈值,若大于则判断该压缩文件包为解压炸弹。
2.如权利要求1所述的判断方法,其特征在于,在对压缩文件包内任一个子文件包进行数量统计前,先判断已统计的文件数量是否大于第一阈值,如果大于,则判定该压缩文件包为解压炸弹,停止对该压缩文件包的统计。
3.如权利要求1或2所述的判断方法,其特征在于,当压缩文件包内的文件数量大于第一阈值且压缩文件包的大小大于第二阈值时,则判断该压缩文件包为解压炸弹。
4.如权利要求1或2所述的判断方法,其特征在于,当压缩文件包内的文件数量大于第一阈值且压缩文件包的层数大于第三阈值时,则判断该压缩文件包为解压炸弹。
5.如权利要求1或2所述的判断方法,其特征在于,当压缩文件包内的文件数量大于第一阈值,压缩文件包的大小大于第二阈值时,且压缩文件包的层数大于第三阈值时,则判断该压缩文件包为解压炸弹。
6.一种解压炸弹的判断装置,其特征在于,其包括第一统计模块及判断输出模块,其中:
第一统计模块,用于统计压缩文件包内的文件数量;
判断模块,用于当第一统计模块统计的文件数量大于第一阈值时,判断该压缩文件包为解压炸弹。
7.如权利要求6所述的判断装置,其特征在于,该第一统计模块包括一用来记录已处理文件个数的计数器,在对压缩文件包内任一个子文件包进行处理前,先判断计数器是否大于设定阈值,如果大于,则停止对该压缩文件包的统计并将统计数量发送给判断输出模块。
8.如权利要求6或7所述的判断装置,其特征在于,该判断装置还包括用于计算压缩文件包大小的第二统计模块,当第一统计模块输出的文件数量大于第一阈值且第二统计模块输出的文件大小大于第二阈值时,所述判断模块判断该压缩文件包为解压炸弹。
9.如权利要求6或7所述的判断装置,其特征在于,该判断装置还包括用于计算压缩文件包层数的第三统计模块,当第一统计模块输出的文件数量大于第一阈值且第三统计模块输出的层数大于第三阈值时,所述判断模块判断该压缩文件包为解压炸弹。
10.如权利要求6或7所述的判断装置,其特征在于,该判断装置还包括用于计算压缩文件包大小的第二统计模块,用于计算压缩文件包层数的第三统计模块,当第一统计模块输出的文件数量大于第一阈值且第二统计模块输出的文件大小大于第二阈值且第三统计模块输出的层数大于第三阈值时,所述判断模块判断该压缩文件包为解压炸弹。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611193314.3A CN108229164A (zh) | 2016-12-21 | 2016-12-21 | 解压炸弹的判断方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611193314.3A CN108229164A (zh) | 2016-12-21 | 2016-12-21 | 解压炸弹的判断方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108229164A true CN108229164A (zh) | 2018-06-29 |
Family
ID=62656725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611193314.3A Pending CN108229164A (zh) | 2016-12-21 | 2016-12-21 | 解压炸弹的判断方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108229164A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851871A (zh) * | 2019-11-15 | 2020-02-28 | 北京明朝万达科技股份有限公司 | 一种文件解压方法、装置、电子设备及存储介质 |
CN111797392A (zh) * | 2019-04-09 | 2020-10-20 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
CN112214462A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 压缩文件的多层解压缩方法、电子设备及存储介质 |
CN116361786A (zh) * | 2023-05-31 | 2023-06-30 | 中国矿业大学(北京) | 一种解压炸弹的检测防御方法、系统、介质及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090210943A1 (en) * | 2004-09-08 | 2009-08-20 | Galit Alon | Method to detect viruses hidden inside a password-protected archive of compressed files |
CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
-
2016
- 2016-12-21 CN CN201611193314.3A patent/CN108229164A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090210943A1 (en) * | 2004-09-08 | 2009-08-20 | Galit Alon | Method to detect viruses hidden inside a password-protected archive of compressed files |
CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
Non-Patent Citations (2)
Title |
---|
佚名: "压缩包炸弹病毒是什么?", 《HTTPS://WWW.HAOTE.COM/JIAOCHENG/113949.HTML》 * |
佚名: "拉链炸弹:42KB变为4600 Terrabvtes", 《HTTPS://UBUNTUFORUMS.ORG/ARCHIVE/INDEX.PHP/T-2066571.HTML》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111797392A (zh) * | 2019-04-09 | 2020-10-20 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
CN111797392B (zh) * | 2019-04-09 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
CN110851871A (zh) * | 2019-11-15 | 2020-02-28 | 北京明朝万达科技股份有限公司 | 一种文件解压方法、装置、电子设备及存储介质 |
CN112214462A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 压缩文件的多层解压缩方法、电子设备及存储介质 |
CN116361786A (zh) * | 2023-05-31 | 2023-06-30 | 中国矿业大学(北京) | 一种解压炸弹的检测防御方法、系统、介质及电子设备 |
CN116361786B (zh) * | 2023-05-31 | 2023-08-15 | 中国矿业大学(北京) | 一种解压炸弹的检测防御方法、系统、介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108229164A (zh) | 解压炸弹的判断方法及装置 | |
CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
KR101484023B1 (ko) | 평판 시스템을 통한 멀웨어 탐지 | |
CN108804925B (zh) | 用于检测恶意代码的方法和系统 | |
RU2589310C2 (ru) | Система и способ расчета интервала повторного определения категорий сетевого ресурса | |
US8108933B2 (en) | System and method for attack and malware prevention | |
US8549645B2 (en) | System and method for detection of denial of service attacks | |
US8806641B1 (en) | Systems and methods for detecting malware variants | |
CN102647421B (zh) | 基于行为特征的web后门检测方法和装置 | |
Zhao et al. | Malicious Domain Names Detection Algorithm Based on N‐Gram | |
US20130145471A1 (en) | Detecting Malware Using Stored Patterns | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
US10558801B2 (en) | System and method for detection of anomalous events based on popularity of their convolutions | |
WO2021017318A1 (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
US20100077482A1 (en) | Method and system for scanning electronic data for predetermined data patterns | |
CN103020521B (zh) | 木马扫描方法及系统 | |
TW201712586A (zh) | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 | |
US20080134333A1 (en) | Detecting exploits in electronic objects | |
CN104978521B (zh) | 一种实现恶意代码标注的方法及系统 | |
US20070256133A1 (en) | Blocking processes from executing based on votes | |
CN110034921A (zh) | 基于带权模糊hash的webshell检测方法 | |
US11349865B1 (en) | Signatureless detection of malicious MS Office documents containing embedded OLE objects | |
CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
EP2977928B1 (en) | Malicious code detection | |
Ye et al. | Android malware detection technology based on lightweight convolutional neural networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180629 |