CN109784037B - 文档文件的安全防护方法及装置、存储介质、计算机设备 - Google Patents
文档文件的安全防护方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109784037B CN109784037B CN201811641305.5A CN201811641305A CN109784037B CN 109784037 B CN109784037 B CN 109784037B CN 201811641305 A CN201811641305 A CN 201811641305A CN 109784037 B CN109784037 B CN 109784037B
- Authority
- CN
- China
- Prior art keywords
- behavior
- modification
- suffix name
- suffix
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种文档文件的安全防护方法及装置、存储介质、计算机设备,该方法包括:获取文档文件的后缀名修改行为对应的行为堆栈特征;查找预设主动修改文档后缀栈特征库中是否包含后缀名修改行为对应的行为堆栈特征;若预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,则放行文档文件的后缀名修改行为;若预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,则拦截文档文件的后缀名修改行为。本申请依据行为的堆栈特征,结合预设主动修改文档后缀栈特征库,选择是否放行该修改行为,避免了文档文件被恶意程序通过篡改后缀名的方式破坏和窃取。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种文档文件的安全防护方法及装置、存储介质、计算机设备。
背景技术
随着互联网的日益普及,人们越来越多的文件以电子文档文件的形式保存和传播,电子信息资产已经成为现代最重的资产之一,文档安全成为网络安全中重要的一环,而在网络安全事件频发的今天,电子文档文件的防护显得尤为重要。
运行在用户计算机的程序成百上千,有些恶意的程序以对用户计算机的私密文档为攻击目标,要么窃取,要么破坏,如著名的勒索软件WannaCry,如何保护用户电子文档本方案要解决的核心问题。目前大多数终端通过安全软件库对终端中的病毒、木马等恶意程序识别和查杀,但是安全软件库中涵盖的恶意程序是有限的,无法实时更新最新的恶意程序,防护效果有待提高。
发明内容
有鉴于此,本申请提供了一种文档文件的安全防护方法及装置、存储介质、计算机设备,有助于防止文档文件的后缀名被恶意篡改。
根据本申请的一个方面,提供了一种文档文件的安全防护方法,包括:
获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为。
根据本申请的另一方面,提供了一种文档文件的安全防护装置,包括:
行为堆栈特征获取模块,用于获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
行为堆栈特征判断模块,用于查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
修改行为放行模块,用于若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
修改行为拦截模块,用于若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述文档文件的安全防护方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述文档文件的安全防护方法。
借由上述技术方案,本申请提供的一种文档文件的安全防护方法及装置、存储介质、计算机设备,对文档文件的后缀名修改行为进行监控,并解析该行为对应的行为堆栈特征,从而依据上述行为对应的行为堆栈特征与预设主动修改文档后缀栈特征库的关系选择放行该行为实现文档文件后缀名的修改或拦截该行为保持文档文件后缀名不变。本申请通过对文档文件后缀名修改行为的监控,并依据行为的堆栈特征,结合预设主动修改文档后缀栈特征库,分析修改行为是否属于特征库内预先设定的主动修改文档文件后缀名的行为后,选择是否放行该修改行为,避免了文档文件被恶意程序通过篡改后缀名的方式破坏和窃取,填补了现有技术无法阻止恶意程序篡改文件后缀名的空白,提高了电子文档文件数据的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种文档文件的安全防护方法的流程示意图;
图2示出了本申请实施例提供的另一种文档文件的安全防护方法的流程示意图;
图3示出了本申请实施例提供的一种文档文件的安全防护装置的结构示意图;
图4示出了本申请实施例提供的另一种文档文件的安全防护装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种文档文件的安全防护方法,如图1所示,该方法包括:
步骤101,获取文档文件的后缀名修改行为对应的行为堆栈特征。
病毒、木马等恶意程序在窃取、破坏文档时,常用的一种方法是将文档文件的后缀名进行修改后,通过恶意手段盗取修改后缀名后的文档文件。
本申请的实施例对文档文件的后缀名修改行为进行实时监控,当监控到文档文件的后缀名修改行为时,获取文档文件的后缀名修改行为对应的行为堆栈特征,从而利用该修改行为对应的行为堆栈特征进一步判断该修改是否可能是由病毒、木马等恶意程序的恶意篡改。
需要说明的是,要实现计算机系统中的任一行为需要一系列的系统调用,而行为堆栈就是系统的API(ApplicationProgramming Interface,应用程序编程接口)调用序列,行为堆栈特征可以作为判断某个行为是否是恶意程序操控行为的依据。因此,在监控到文档文件的后缀名修改行为时,应从系统日志中解析出该行为对应的行为堆栈特征。
步骤102,查找预设主动修改文档后缀栈特征库中是否包含后缀名修改行为对应的行为堆栈特征。
依据预设主动修改文档后缀栈特征库,判断上述的文档文件的后缀名修改行为是否属于预设的主动修改行为,即在预设主动修改文档后缀栈特征库中查找上述后缀名修改行为对应的行为堆栈特征。
需要说明的是,预设主动修改文档后缀栈特征库中的堆栈特征是根据预先设定的主动修改文档文件后缀名的行为对应的堆栈特征建立的,主动修改文档文件后缀名的行为是指人为非恶意的对文档文件的后缀名进行修改的行为。因此,如果预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,说明上述的修改行为属于预先设定的主动修改行为;而如果预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,说明上述的修改行为不属于预先设定的主动修改行为。
步骤103,若预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,则放行文档文件的后缀名修改行为。
如果监控到的修改文档文件后缀名的行为是预先设定的主动修改文档文件后缀名的行为,即预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,说明监控到的后缀名修改行为属于人为非恶意的对文档文件的后缀名进行修改的行为,应将该行为放行,完成对文档文件后缀名的修改。
步骤104,若预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,则拦截文档文件的后缀名修改行为。
而如果监控到的修改文档文件后缀名的行为不是预先设定的主动修改文档文件后缀名的行为,即预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,说明监控到的后缀名修改行为可能是恶意程序的恶意操控产生的,或者是恶意人员操控产生的,又或者是人为误操作产生的,应将该行为进行拦截,阻止此次文档文件后缀名的修改,避免文档文件被恶意程序或恶意人员进行篡改、以及人为误修改导致文档文件被损坏、窃取,提高文档文件的安全性。
通过应用本实施例的技术方案,对文档文件的后缀名修改行为进行监控,并解析该行为对应的行为堆栈特征,从而依据上述行为对应的行为堆栈特征与预设主动修改文档后缀栈特征库的关系选择放行该行为实现文档文件后缀名的修改或拦截该行为保持文档文件后缀名不变。本申请通过对文档文件后缀名修改行为的监控,并依据行为的堆栈特征,结合预设主动修改文档后缀栈特征库,分析修改行为是否属于特征库内预先设定的主动修改文档文件后缀名的行为后,选择是否放行该修改行为,避免了文档文件被恶意程序通过篡改后缀名的方式破坏和窃取,填补了现有技术无法阻止恶意程序篡改文件后缀名的空白,提高了电子文档文件数据的安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种文档文件的安全防护方法,如图2所示,该方法包括:
步骤201,通过文件过滤驱动注册文件过滤回调函数,其中,文件过滤回调函数用于监控文件的后缀名修改行为。
在本申请的实施例中,通过文件过滤驱动注册文件过滤回调函数,以实现对文档文件的后缀名修改行为的监控,例如选用Minifilter文件过滤驱动框架进行注册。当计算机系统中存在文件的后缀名修改行为时,文件过滤回调函数会对该行为进行通知。
另外,还可以通过HOOK(挂钩)技术,设定对文件的后缀名修改行为的监控。
步骤202,监控文件的后缀名修改行为,并获取文件的后缀名修改行为对应的文件的修改前后缀名。
当通过文件过滤回调函数或HOOK技术监控到系统中存在文件的后缀名修改行为时,根据行为对应的行为记录,获取原文件的后缀名,从而确认预计修改的文件是否为需要保护的文件格式。
例如,在日常的办公和学习的过程中,用户越来越多的重要文件以电子文档文件的形式进行保存和传播,比如某公司默认使用Word、Excel、PPT等办公软件进行日常办公。而恶意程序进攻计算机系统时,通常也是通过对这类重要的文档文件的后缀名进行篡改的方式,实现破坏、窃取企业重要信息。
另外,办公中对于重要的文档文件通常有其特定的后缀名,比如某公司办公文档默认采用doc、docx等格式的文档,而不采用txt格式的文档,那么在对后缀名修改行为进行保护时,就可以不对txt格式的文档文件的后缀名修改行为进行限制,提升系统运行速度,减少内存占用。
步骤203,根据文件的修改前后缀名以及预设文档文件后缀名,判断文件的后缀名修改行为是否属于文档文件的后缀名修改行为。
获取到文件的后缀名修改行为对应的文件的修改前后缀名后,可以通过判断该后缀名是否属于预设的文档文件后缀名,来确定监控到的后缀名修改行为是否属于本申请所关注的文档文件的后缀名修改行为。具体来说,如果文件的修改前后缀名在预设文档文件后缀名中,则该行为属于文档文件的后缀名修改行为,相反,如果文件的修改前后缀名不在预设文档文件后缀名中,则该行为不属于文档文件的后缀名修改行为。
需要说明的是,在上述实施例中,具体地,预设后缀名包括但不限于以下任意一种或其组合:doc、docx、xls、xlsx、ppt、pptx。
步骤204,若文件的后缀名修改行为属于文档文件的后缀名修改行为,则获取文档文件的后缀名修改行为对应的行为堆栈特征。
如果确认修改行为是需要对被保护的doc、docx、xls、xlsx、ppt、pptx等文档文件的后缀名进行修改,则应进入对修改行为的进一步分析的步骤,从系统日志中解析文档文件的后缀名修改行为对应的行为堆栈特征,从而依据行为堆栈特征确定上述的修改行为是否存在被恶意程序操控而产生的可能。
例如,监控到的文件的后缀名修改行为是需要将doc格式的文件修改为其他格式,则应在系统日志中查找该行为对应的行为记录,进一步对该行为对应的行为堆栈特征进行解析。
步骤205,若文件的后缀名修改行为不属于文档文件的后缀名修改行为,则放行文档文件的后缀名修改行为。
而如果监控到的文件修改后缀名的行为不是要对预设种类的文档文件进行修改,说明该修改行为不是本申请关注的文档文件的后缀名修改行为,则可以直接放行该修改。
例如,监控到的文件的后缀名修改行为是需要将xml格式的文件修改为其他格式,xml格式不属于预设的后缀名格式,可以直接对该行为进行放行,实现后缀名修改。
步骤206,查找预设主动修改文档后缀栈特征库中是否包含后缀名修改行为对应的行为堆栈特征。
依据预设主动修改文档后缀栈特征库进行分析,从而确定监控到的文档文件后缀名修改行为是否属于预设的用户主动修改的安全行为,具体来说,如果预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,则说明系统监控的此次修改行为属于用户主动修改行为,否则,仍需进一步判断确定该行为的安全性。
需要说明的是,在本申请的实施例中,在步骤206之前,还可以包括建立预设主动修改文档后缀栈特征库的步骤,具体为:获取文档文件的至少一次主动修改后缀名行为对应的行为记录;解析行为记录,并根据解析得到的行为记录对应的行为堆栈特征建立预设主动修改文档后缀栈特征库。
在本申请的实施例中,为了分析计算机系统中的文件后缀名修改行为是被恶意操控产生的还是由用户的主动修改操作产生的,应预先建立预设主动修改文档后缀栈特征库,为分析文档文件修改行为是否是正常操作提供依据。其中,预设主动修改文档后缀栈特征库是根据对文档文件进行多次正常修改的运行记录得到的。
具体地,可以由管理员在设备上对文档文件进行后缀名修改操作,以使设备响应管理员的操作实现相应修改,从而在一次操作完成后,从系统监控日志中针对该次文档文件的后缀名修改行为,提取出与该次修改行为对应的行为堆栈。将多次修改操作所得结果交由专家系统进行确认,将专家系统确认为正常修改行为的堆栈特征加入到预设主动修改文档后缀栈特征库,从而可以根据预设主动修改文档后缀栈特征库,确定监控到的文档文件的修改行为是用户主动操作的正常行为还是恶意程序的恶意篡改行为。
步骤207,若预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,则放行文档文件的后缀名修改行为。
如果预设主动修改文档后缀栈特征库中包含此次后缀名修改行为对应的行为堆栈特征,说明本次修改行为属于预先约定的用户主动修改文档文件后缀名的行为,本次修改行为是安全的,可以直接放行该行为,实现对文档文件后缀名的修改。
步骤208,若预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,则获取文档文件的后缀名修改行为对应的线程。
而如果预设主动修改文档后缀栈特征库中不包含此次后缀名修改行为对应的行为堆栈特征,说明本次修改行为不属于预先约定的用户主动修改文档文件后缀名的行为,对于本次修改行为的安全性应进行进一步的判断,避免恶意程序对文档文件的破坏和窃取,并且,此时没有直接将该行为进行拦截,也可以防止预设主动修改文档后缀栈特征库中的特征收集不全面导致的行为误拦截,影响计算机系统的正常使用。
具体地,线程是指操作系统执行调度的最小单元,不同的线程可能由不同的执行主体发起的,因此可以根据文档文件的后缀名修改行为对应的线程对行为的安全性进行进一步判断。
步骤209,查找预设主动线程集中是否包含文档文件的后缀名修改行为对应的线程。
依据预设主动线程集进行分析,从而确定监控到的文档文件后缀名修改行为是否属于预设的用户主动修改的安全行为。
需要说明的是,在本申请的实施例中,在步骤209之前,还可以包括建立预设主动线程集的步骤,具体为:获取文档文件的至少一次主动修改后缀名行为创建的线程;根据线程,建立预设主动线程集。
在本申请的实施例中,还可以依据修改行为对应的线程分析该行为是否属于用户的主动修改行为,为此应先建立预设主动线程集。
具体地,可以由管理员在设备上对文档文件进行后缀名修改操作,以使设备响应管理员的操作实现相应修改,从而在一次操作完成后,从系统监控日志中提取出与该次修改行为对应的线程。将多次修改操作所得结果交由专家系统进行确认,将专家系统确认为正常修改行为的线程加入到预设主动线程集中,从而可以根据预设主动线程集,确定监控到的文档文件的修改行为是用户主动操作的正常行为还是恶意程序的恶意篡改行为。
步骤210,若预设主动线程集中包含文档文件的后缀名修改行为对应的线程,则放行文档文件的后缀名修改行为。
如果预设主动线程集中包含此次后缀名修改行为对应的线程,说明本次修改行为属于预先约定的用户主动修改文档文件后缀名的行为,本次修改行为是安全的,可以直接放行该行为,实现对文档文件后缀名的修改。
也就是说,只要监控到的文档文件的修改行为能够通过预设主动修改文档后缀栈特征库和预设主动线程集中的任意一个的校验,该行为即可被放行。
步骤211,若预设主动线程集中不包含文档文件的后缀名修改行为对应的线程,则拦截文档文件的后缀名修改行为。
如果文档文件的修改行为无法通过预设主动修改文档后缀栈特征库和预设主动线程集中的任意一个的校验,说明该行为的危险程度较高,可能是恶意程序的篡改行为,应将其进行拦截,防止文档文件后缀名被修改带来的系统安全问题,或者将该行为对应的行为记录上报至管理终端,由管理员进行确定后再对该行为进行处置。
通过应用本实施例的技术方案,对预先规定的后缀名对应的文档文件后缀名修改行为进行监控,从而根据监控的修改行为对应的行为堆栈特征以及对应的线程,结合预设主动修改文档后缀栈特征库以及预设主动线程集,分析该修改行为的安全性,并在修改行为能够通过预设主动修改文档后缀栈特征库以及预设主动线程集中任意一个的校验时,放行该行为,否则将该修改行为进行拦截,以实现对文档文件后缀名修改行为的安全防护,避免恶意程序通过篡改文档文件后缀名的方式对系统文档文件的破坏和窃取,提高了文档文件的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种文档文件的安全防护装置,如图3所示,该装置包括:行为堆栈特征获取模块31、行为堆栈特征判断模块32、修改行为放行模块33、修改行为拦截模块34。
行为堆栈特征获取模块31,用于获取文档文件的后缀名修改行为对应的行为堆栈特征;
行为堆栈特征判断模块32,用于查找预设主动修改文档后缀栈特征库中是否包含后缀名修改行为对应的行为堆栈特征;
修改行为放行模块33,用于若预设主动修改文档后缀栈特征库中包含后缀名修改行为对应的行为堆栈特征,则放行文档文件的后缀名修改行为;
修改行为拦截模块34,用于若预设主动修改文档后缀栈特征库中不包含后缀名修改行为对应的行为堆栈特征,则拦截文档文件的后缀名修改行为。
在具体的应用场景中,如图4所示,修改行为拦截模块34,具体包括:线程获取单元341、线程判断单元342、第一修改行为放行单元343、修改行为拦截单元344。
线程获取单元341,用于获取文档文件的后缀名修改行为对应的线程;
线程判断单元342,用于查找预设主动线程集中是否包含文档文件的后缀名修改行为对应的线程;
第一修改行为放行单元343,用于若预设主动线程集中包含文档文件的后缀名修改行为对应的线程,则放行文档文件的后缀名修改行为;
修改行为拦截单元344,用于若预设主动线程集中不包含文档文件的后缀名修改行为对应的线程,则拦截文档文件的后缀名修改行为。
在具体的应用场景中,如图4所示,行为堆栈特征获取模块31,具体包括:后缀名获取单元311、后缀名判断单元312、主动修改堆栈特征获取单元313、第二修改行为放行单元314。
后缀名获取单元311,用于监控文件的后缀名修改行为,并获取文件的后缀名修改行为对应的文件的修改前后缀名;
后缀名判断单元312,用于根据文件的修改前后缀名以及预设文档文件后缀名,判断文件的后缀名修改行为是否属于文档文件的后缀名修改行为;
主动修改堆栈特征获取单元313,用于若文件的后缀名修改行为属于文档文件的后缀名修改行为,则获取文档文件的后缀名修改行为对应的行为堆栈特征;
第二修改行为放行单元314,用于若文件的后缀名修改行为不属于文档文件的后缀名修改行为,则放行文档文件的后缀名修改行为。
在具体的应用场景中,如图4所示,上述装置还包括:行为记录获取模块35、特征库建立模块36、主动修改线程获取模块37、线程集建立模块38、回调函数注册模块39。
行为记录获取模块35,用于获取文档文件的后缀名修改行为对应的行为堆栈特征之前,获取文档文件的至少一次主动修改后缀名行为对应的行为记录;
特征库建立模块36,用于解析行为记录,并根据解析得到的行为记录对应的行为堆栈特征建立预设主动修改文档后缀栈特征库。
主动修改线程获取模块37,用于获取文档文件的后缀名修改行为对应的行为堆栈特征之前,获取文档文件的至少一次主动修改后缀名行为创建的线程;
线程集建立模块38,用于根据线程,建立预设主动线程集。
回调函数注册模块39,用于监控文件的后缀名修改行为之前,通过文件过滤驱动注册文件过滤回调函数,其中,文件过滤回调函数用于监控文件的后缀名修改行为。
在上述实施例中,具体地,预设后缀名包括但不限于以下任意一种或其组合:doc、docx、xls、xlsx、ppt、pptx。
需要说明的是,本申请实施例提供的一种文档文件的安全防护装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的文档文件的安全防护方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的文档文件的安全防护方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现对文档文件的后缀名修改行为进行监控,并解析该行为对应的行为堆栈特征,从而依据上述行为对应的行为堆栈特征与预设主动修改文档后缀栈特征库的关系选择放行该行为实现文档文件后缀名的修改或拦截该行为保持文档文件后缀名不变。本申请通过对文档文件后缀名修改行为的监控,并依据行为的堆栈特征,结合预设主动修改文档后缀栈特征库,分析修改行为是否属于特征库内预先设定的主动修改文档文件后缀名的行为后,选择是否放行该修改行为,避免了文档文件被恶意程序通过篡改后缀名的方式破坏和窃取,填补了现有技术无法阻止恶意程序篡改文件后缀名的空白,提高了电子文档文件数据的安全性。
本发明实施例提供了以下技术方案:
1、一种文档文件的安全防护方法,包括:
获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为。
2、根据1所述的方法,所述拦截所述文档文件的后缀名修改行为,具体包括:
获取所述文档文件的后缀名修改行为对应的线程;
查找预设主动线程集中是否包含所述文档文件的后缀名修改行为对应的线程;
若所述预设主动线程集中包含所述文档文件的后缀名修改行为对应的线程,则放行所述文档文件的后缀名修改行为;
若所述预设主动线程集中不包含所述文档文件的后缀名修改行为对应的线程,则拦截所述文档文件的后缀名修改行为。
3、根据1所述的方法,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征,具体包括:
监控文件的后缀名修改行为,并获取所述文件的后缀名修改行为对应的文件的修改前后缀名;
根据所述文件的修改前后缀名以及预设文档文件后缀名,判断所述文件的后缀名修改行为是否属于所述文档文件的后缀名修改行为;
若所述文件的后缀名修改行为属于所述文档文件的后缀名修改行为,则获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
若所述文件的后缀名修改行为不属于所述文档文件的后缀名修改行为,则放行所述文档文件的后缀名修改行为。
4、根据1所述的方法,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,所述方法还包括:
获取所述文档文件的至少一次主动修改后缀名行为对应的行为记录;
解析所述行为记录,并根据解析得到的所述行为记录对应的行为堆栈特征建立所述预设主动修改文档后缀栈特征库。
5、根据2所述的方法,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,所述方法还包括:
获取所述文档文件的至少一次主动修改后缀名行为创建的线程;
根据所述线程,建立所述预设主动线程集。
6、根据3所述的方法,所述监控文件的后缀名修改行为之前,所述方法还包括:
通过文件过滤驱动注册文件过滤回调函数,其中,所述文件过滤回调函数用于监控所述文件的后缀名修改行为。
7、根据3所述的方法,所述预设后缀名包括但不限于以下任意一种或其组合:doc、docx、xls、xlsx、ppt、pptx。
8、一种文档文件的安全防护装置,包括:
行为堆栈特征获取模块,用于获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
行为堆栈特征判断模块,用于查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
修改行为放行模块,用于若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
修改行为拦截模块,用于若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为。
9、根据8所述的装置,所述修改行为拦截模块,具体包括:
线程获取单元,用于获取所述文档文件的后缀名修改行为对应的线程;
线程判断单元,用于查找预设主动线程集中是否包含所述文档文件的后缀名修改行为对应的线程;
第一修改行为放行单元,用于若所述预设主动线程集中包含所述文档文件的后缀名修改行为对应的线程,则放行所述文档文件的后缀名修改行为;
修改行为拦截单元,用于若所述预设主动线程集中不包含所述文档文件的后缀名修改行为对应的线程,则拦截所述文档文件的后缀名修改行为。
10、根据8所述的方法,所述行为堆栈特征获取模块,具体包括:
后缀名获取单元,用于监控文件的后缀名修改行为,并获取所述文件的后缀名修改行为对应的文件的修改前后缀名;
后缀名判断单元,用于根据所述文件的修改前后缀名以及预设文档文件后缀名,判断所述文件的后缀名修改行为是否属于所述文档文件的后缀名修改行为;
主动修改堆栈特征获取单元,用于若所述文件的后缀名修改行为属于所述文档文件的后缀名修改行为,则获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
第二修改行为放行单元,用于若所述文件的后缀名修改行为不属于所述文档文件的后缀名修改行为,则放行所述文档文件的后缀名修改行为。
11、根据8所述的装置,所述装置还包括:
行为记录获取模块,用于获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,获取所述文档文件的至少一次主动修改后缀名行为对应的行为记录;
特征库建立模块,用于解析所述行为记录,并根据解析得到的所述行为记录对应的行为堆栈特征建立所述预设主动修改文档后缀栈特征库。
12、根据9所述的装置,所述装置还包括:
主动修改线程获取模块,用于获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,获取所述文档文件的至少一次主动修改后缀名行为创建的线程;
线程集建立模块,用于根据所述线程,建立所述预设主动线程集。
13、根据10所述的装置,所述装置还包括:
回调函数注册模块,用于监控文件的后缀名修改行为之前,通过文件过滤驱动注册文件过滤回调函数,其中,所述文件过滤回调函数用于监控所述文件的后缀名修改行为。
14、根据10所述的方法,所述预设后缀名包括但不限于以下任意一种或其组合:doc、docx、xls、xlsx、ppt、pptx。
15、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现1至7中任一项所述的文档文件的安全防护方法。
16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现1至7中任一项所述的文档文件的安全防护方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种文档文件的安全防护方法,其特征在于,包括:
获取所述文档文件的后缀名修改行为对应的行为堆栈特征,包括:监控文件的后缀名修改行为,并获取所述文件的后缀名修改行为对应的文件的修改前后缀名;根据所述文件的修改前后缀名以及预设文档文件后缀名,判断所述文件的后缀名修改行为是否属于所述文档文件的后缀名修改行为;若所述文件的后缀名修改行为属于所述文档文件的后缀名修改行为,则获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为。
2.根据权利要求1所述的方法,其特征在于,所述拦截所述文档文件的后缀名修改行为,具体包括:
获取所述文档文件的后缀名修改行为对应的线程;
查找预设主动线程集中是否包含所述文档文件的后缀名修改行为对应的线程;
若所述预设主动线程集中包含所述文档文件的后缀名修改行为对应的线程,则放行所述文档文件的后缀名修改行为;
若所述预设主动线程集中不包含所述文档文件的后缀名修改行为对应的线程,则拦截所述文档文件的后缀名修改行为。
3.根据权利要求1所述的方法,其特征在于,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征,还包括:
若所述文件的后缀名修改行为不属于所述文档文件的后缀名修改行为,则放行所述文档文件的后缀名修改行为。
4.根据权利要求1所述的方法,其特征在于,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,所述方法还包括:
获取所述文档文件的至少一次主动修改后缀名行为对应的行为记录;
解析所述行为记录,并根据解析得到的所述行为记录对应的行为堆栈特征建立所述预设主动修改文档后缀栈特征库。
5.根据权利要求2所述的方法,其特征在于,所述获取所述文档文件的后缀名修改行为对应的行为堆栈特征之前,所述方法还包括:
获取所述文档文件的至少一次主动修改后缀名行为创建的线程;
根据所述线程,建立所述预设主动线程集。
6.根据权利要求3所述的方法,其特征在于,所述监控文件的后缀名修改行为之前,所述方法还包括:
通过文件过滤驱动注册文件过滤回调函数,其中,所述文件过滤回调函数用于监控所述文件的后缀名修改行为。
7.根据权利要求3所述的方法,其特征在于,预设后缀名包括但不限于以下任意一种或其组合:doc、docx、xls、xlsx、ppt、pptx。
8.一种文档文件的安全防护装置,其特征在于,包括:
行为堆栈特征获取模块,用于获取所述文档文件的后缀名修改行为对应的行为堆栈特征;
行为堆栈特征判断模块,用于查找预设主动修改文档后缀栈特征库中是否包含所述后缀名修改行为对应的行为堆栈特征;
修改行为放行模块,用于若所述预设主动修改文档后缀栈特征库中包含所述后缀名修改行为对应的行为堆栈特征,则放行所述文档文件的后缀名修改行为;
修改行为拦截模块,用于若所述预设主动修改文档后缀栈特征库中不包含所述后缀名修改行为对应的行为堆栈特征,则拦截所述文档文件的后缀名修改行为;
其中,所述行为堆栈特征获取模块包括:后缀名获取单元,用于监控文件的后缀名修改行为,并获取文件的后缀名修改行为对应的文件的修改前后缀名;后缀名判断单元,用于根据文件的修改前后缀名以及预设文档文件后缀名,判断文件的后缀名修改行为是否属于文档文件的后缀名修改行为;主动修改堆栈特征获取单元,用于若文件的后缀名修改行为属于文档文件的后缀名修改行为,则获取文档文件的后缀名修改行为对应的行为堆栈特征。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的文档文件的安全防护方法。
10.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的文档文件的安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641305.5A CN109784037B (zh) | 2018-12-29 | 2018-12-29 | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811641305.5A CN109784037B (zh) | 2018-12-29 | 2018-12-29 | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109784037A CN109784037A (zh) | 2019-05-21 |
| CN109784037B true CN109784037B (zh) | 2021-04-23 |
Family
ID=66499528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811641305.5A Active CN109784037B (zh) | 2018-12-29 | 2018-12-29 | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784037B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224862A (zh) * | 2015-09-25 | 2016-01-06 | 北京北信源软件股份有限公司 | 一种office剪切板的拦截方法及装置 |
| CN106682529A (zh) * | 2017-01-04 | 2017-05-17 | 北京国舜科技股份有限公司 | 一种防篡改方法和防篡改终端 |
| CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
| CN108959951A (zh) * | 2017-05-19 | 2018-12-07 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
-
2018
- 2018-12-29 CN CN201811641305.5A patent/CN109784037B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224862A (zh) * | 2015-09-25 | 2016-01-06 | 北京北信源软件股份有限公司 | 一种office剪切板的拦截方法及装置 |
| CN106682529A (zh) * | 2017-01-04 | 2017-05-17 | 北京国舜科技股份有限公司 | 一种防篡改方法和防篡改终端 |
| CN108959951A (zh) * | 2017-05-19 | 2018-12-07 | 北京瑞星网安技术股份有限公司 | 文档安全防护的方法、装置、设备及可读存储介质 |
| CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109784037A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| AU2019200445B2 (en) | Methods and apparatus for dealing with malware | |
| AU2018229557A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
| EP2947595A1 (en) | Attack analysis system, coordination device, attack analysis coordination method, and program | |
| KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN110866248B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN115221524A (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| CN114780922A (zh) | 一种勒索软件识别方法、装置、电子设备及存储介质 | |
| US9785775B1 (en) | Malware management | |
| US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
| RU2510530C1 (ru) | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов | |
| CN109802955B (zh) | 权限控制方法及装置、存储介质、计算机设备 | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| CN109800580B (zh) | 系统进程的权限控制方法及装置、存储介质、计算机设备 | |
| CN115396140A (zh) | 应用访问控制方法、装置、存储介质及计算机设备 | |
| CN109472138B (zh) | 一种检测snort规则冲突的方法、装置和存储介质 | |
| CN112395637A (zh) | 数据库防护方法及装置、存储介质、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: Qianxin Technology Group Co., Ltd Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: Beijing Qianxin Technology Co., Ltd |