CN109800568A - 文档文件的安全防护方法、客户端、系统及存储介质 - Google Patents

文档文件的安全防护方法、客户端、系统及存储介质 Download PDF

Info

Publication number
CN109800568A
CN109800568A CN201811640558.0A CN201811640558A CN109800568A CN 109800568 A CN109800568 A CN 109800568A CN 201811640558 A CN201811640558 A CN 201811640558A CN 109800568 A CN109800568 A CN 109800568A
Authority
CN
China
Prior art keywords
user
request
execution
sequence
office software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811640558.0A
Other languages
English (en)
Other versions
CN109800568B (zh
Inventor
徐天琦
刘明
陈俊儒
杨小波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Qianxin Safety Technology Zhuhai Co Ltd
Original Assignee
360 Enterprise Safety Technology (zhuhai) Co Ltd
Beijing Qianxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 360 Enterprise Safety Technology (zhuhai) Co Ltd, Beijing Qianxin Technology Co Ltd filed Critical 360 Enterprise Safety Technology (zhuhai) Co Ltd
Priority to CN201811640558.0A priority Critical patent/CN109800568B/zh
Publication of CN109800568A publication Critical patent/CN109800568A/zh
Application granted granted Critical
Publication of CN109800568B publication Critical patent/CN109800568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种文档文件的安全防护方法、客户端、系统及存储介质,该方法包括:拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体;若执行请求主体为办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列;根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列;根据调用入口函数对应的系统调用序列以及标准调用序列,处理执行请求。本申请能够有效避免恶意应用程序对文档文件的操控,实现对系统文档文件的安全防护,有助于提高企业信息的安全性。

Description

文档文件的安全防护方法、客户端、系统及存储介质
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种文档文件的安全防护方法、客户端、系统及存储介质。
背景技术
近年来,办公软件(office)文档文件病毒居高不下,这是因为常见的可执行文件会备受各种防护系统、杀毒软件所关注,而采取文档文件内置病毒的方法可以掩人耳目获得更高效的感染目的。例如近两年流行的勒索者病毒、powershell病毒均可内置office文档文件中感染用户系统。并且,office文档文件又是企业办公过程中最常用的文件类型之一,如果office文档文件感染病毒,将会对企业信息的安全造成极大威胁。
而现有的安全防护体系缺乏对office文档文件的防护,用户一旦打开感染病毒的office文档文件,系统变会在用户毫无知觉的情况下执行某些恶意操作。因此,如何对office文档文件进行防护,已经成为了信息安全领域的热点话题。
发明内容
有鉴于此,本申请提供了一种文档文件的安全防护方法、客户端、系统及存储介质,有助于提高客户端中文档文件的安全性。
根据本申请的一个方面,提供了一种文档文件的安全防护方法,用于客户端,包括:
拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体;
若执行请求主体为办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列;
根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列;
根据调用入口函数对应的系统调用序列以及标准调用序列,处理执行请求。
根据本申请的另一方面,提供了一种客户端,包括:
执行请求拦截单元,用于拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体;
系统调用序列获取单元,用于若执行请求主体为办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列;
执行请求处理单元,用于根据调用入口函数对应的系统调用序列以及标准调用序列,处理执行请求。
依据本申请又一个方面,提供了一种文档文件的安全防护系统,包括上述的客户端以及内网服务器;
所述内网服务器用于接收所述用户的登录信息,并按照所述用户的登录信息查找所述用户的办公软件使用权限信息后,反馈所述用户的办公软件使用权限信息;以及
接收所述每个办公软件的软件行为记录,并按照所述软件行为记录分析所述每个办公软件对应的调用入口函数以及所述调用入口函数对应的标准调用序列。
依据本申请再一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述文档文件的安全防护方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述文档文件的安全防护方法。
借由上述技术方案,本申请提供的一种文档文件的安全防护方法、客户端、系统及存储介质,对客户端中的文档文件的执行请求进行拦截,并在执行请求的主体为办公软件时,从系统监控日志中查询该执行请求对应的实际的调用入口函数以及调用入口函数对应的实际的系统调用序列,然后根据预设标准调用序列表查询与调用入口函数匹配的标准调用序列,从而对调用入口函数对应的系统调用序列和标准调用序列进行分析,得到对执行请求的处理方案。本申请能够有效避免恶意应用程序对文档文件的操控,实现对系统文档文件的安全防护,有助于提高企业信息的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种文档文件的安全防护方法的流程示意图;
图2示出了本申请实施例提供的另一种文档文件的安全防护方法的流程示意图;
图3示出了本申请实施例提供的一种客户端的结构示意图;
图4示出了本申请实施例提供的另一种客户端的结构示意图;
图5示出了本申请实施例提供的一种文档文件的安全防护系统的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种文档文件的安全防护方法,用于客户端,如图1所示,该方法包括:
步骤101,拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体。
文档文件是企业办公最常用的文件类型之一,为了保护客户端中文档文件的安全,当用户在客户端中提交对文档文件的执行请求时,对用户提交的执行请求进行拦截。其中,执行请求中携带有该文档文件的执行请求主体,例如,用户提交通过Word办公软件打开某.doc文件的执行请求,那么执行请求主体则为Word办公软件。
这里的文档文件一般指office文档文件,例如.doc、.ppt、.xls、.vsd等格式的文件。
步骤102,若执行请求主体为办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列。
若通过解析执行请求得到的执行请求主体为办公软件,说明文档文件的执行请求主体是有权限操作文档文件的应用程序,但即使是有权限操作文档文件的应用程序,也存在被恶意应用程序操纵的可能,因此对执行请求进行进一步的分析,具体地,可以在系统监控日志中查询本次提交执行请求的行为的行为记录,从中获取执行请求对应的执行请求主体的调用入口函数,以及与调用入口函数对应的系统调用序列。
需要说明的是,系统中的每一项进程运行都需要按照一定的顺序调用一系列的系统函数,而通过系统调用序列则能够分析出进程对系统函数的调用顺序。例如,对于Word办公软件,请求通过Word办公软件打开某文档文件和请求通过Word办公软件修改某文档文件需要使用的入口函数是不同的,相应的,打开文档文件的调用入口函数和修改文档文件的调用入口函数对应的系统调用序列也不相同。
步骤103,根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列。
按照在系统监控日志中查找得到执行请求主体的实际的调用入口函数,从预设标准调用序列表中,查询与该调用入口函数相匹配的标准调用序列。预设标准调用序列表中一般包含了全部的对调用入口函数进行正常调用时的函数调用序列,即标准调用序列。
步骤104,根据调用入口函数对应的系统调用序列以及标准调用序列,处理执行请求。
通过对执行请求对应的调用入口函数所对应的实际的系统调用序列及其对应的标准调用序列进行分析,可以判断出此次执行请求是否被恶意应用程序操控而提交的,从而对该执行请求进行处理,有助于避免终端中的文档文件被恶意应用程序操控造成文档文件泄露等信息损失,提高了文档文件的安全性。
通过应用本实施例的技术方案,对客户端中的文档文件的执行请求进行拦截,并在执行请求的主体为办公软件时,从系统监控日志中查询该执行请求对应的实际的调用入口函数以及调用入口函数对应的实际的系统调用序列,然后根据预设标准调用序列表查询与调用入口函数匹配的标准调用序列,从而对调用入口函数对应的系统调用序列和标准调用序列进行分析,得到对执行请求的处理方案。本申请能够有效避免恶意应用程序对文档文件的操控,实现对系统文档文件的安全防护,有助于提高企业信息的安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种文档文件的安全防护方法,如图2所示,该方法包括:
步骤201,向内网服务器发送客户端中的每个办公软件的软件行为记录,以使内网服务器根据软件行为记录分析每个办公软件对应的调用入口函数以及调用入口函数对应的标准调用序列。
需要说明的是,预设标准调用序列表是根据办公软件的多次正常软件行为进行分析得到的。具体地,可以由管理员在客户端上利用各种办公软件对不同的文档文件进行操作,例如打开.doc文件、新建.xls文件、修改.ppt文件、删除.vsd文件等等,以使客户端响应用户提交的执行请求,从而在每一次操作完成后,从系统监控日志中,针对该次操作提取出与执行请求对应的调用入口函数及其对应的系统调用序列,分别将每次的执行请求、调用入口函数以及系统调用序列打包生成软件行为记录,多次操作所得的软件行为记录发送到内网服务器中,经过专家分析确认后,将该系统调用序列作为与办公软件的调用入口函数对应的标准调用序列保存在预设标准调用序列表中,以便根据预设标准调用序列表对拦截的执行请求进行分析和处理。
步骤202,当用户登录客户端时,获取用户的登录信息。
为了保证客户端的信息安全,限制不同用户对在客户端上的操作,当用户登录该客户端时,获取用户的登录信息,登录信息可以为用户的员工编号等可以确定唯一用户身份的信息,以便利用用户的登录信息,获取该用户对应的办公软件使用权限信息。
其中,客户端可以为计算机设备,如笔记本电脑、台式电脑、平板电脑等。
步骤203,根据用户的登录信息,从内网服务器获取用户的办公软件使用权限信息,用户的办公软件使用权限信息包括用户具备使用权限的办公软件。
根据用户的登录信息从内网服务器中获取该用户对应的办公软件使用权限信息,具体过程为:根据用户的登录信息生成权限获取请求后,将权限获取请求发送至内网服务器中,内网服务器中预先存储了不同用户对应的具备操作权限的办公软件列表,从而在接收到权限获取请求时,能够根据权限获取请求中所包含的员工编号等登录信息确定该用户对应的办公软件使用权限信息,然后,内网服务器将根据权限获取请求确定的用户的办公软件使用权限信息反馈给客户端,从而客户端在接收到来自内网服务器反馈的用户的办公软件使用权限信息后,可以对该用户在该客户端上的对办公软件的操作进行限制。
例如,内网权限管理服务器中预先存储了员工编号为123的用户具备的权限包括使用Word、PPT、Excel等办公软件;而员工编号为456的用户具备的权限包括使用Word、PPT、Excel、visio等办公软件。
步骤204,清空客户端的本地缓存,存储用户的办公软件使用权限信息。
接收到内网服务器发送的用户的办公软件使用权限信息后,将客户端中的本地缓存进行清空处理,从而清除该设备中的一些历史办公软件的运行记录,防止对设备的运行安全造成影响,再将该用户的办公软件使用权限信息存储在客户端中,从而便于用户在使用该客户端时对用户的办公软件使用权限进行控制。
步骤205,拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体。
当用户登录客户端对设备中的文档文件进行操作或者恶意应用程序对文档文件进行操控后,拦截客户端中的对文档文件的执行请求,从而根据该执行请求对应的执行请求主体以及用户的办公软件使用权限信息,判断用户是否对拦截的执行请求对应的执行请求主体具备操作权限,或者说判断拦截的执行请求所对应的执行请求主体是否为用户使用权限范围内的办公软件,以便实现对用户操作权限的管理。
步骤206,若执行请求主体为非办公软件,则输出执行请求主体对文档文件无操作权限的提示信息。
一般来说,文档文件只能通过办公软件进行操控,如果根据执行请求包括的执行请求主体不是办公软件,说明客户端上可能存在恶意应用程序操作文档文件,如果响应该执行请求有可能导致文档文件被恶意使用的风险,因此,为了保护设备上的文档文件的安全,此时不应对该执行请求进行响应,输出执行请求主体对文档文件无操作权限的提示信息。另外,由于该执行请求可能是恶意应用程序的恶意操作,可以将该执行请求上报至管理终端,交由管理终端处理。也就是说,终端上的文档文件是无法通过非办公软件进行操作的,提高了文件的安全性。
步骤207,若执行请求主体为办公软件,则检测执行请求主体是否为用户具备使用权限的办公软件。
如果执行请求主体是办公软件,为了实现对用户办公软件使用权限的控制,仍需进一步判定该执行请求主体是否在用户的权限范围内,即检测该执行请求主体是否为用户具备使用权限的办公软件。
步骤208,若执行请求主体不为用户具备使用权限的办公软件,则输出用户对执行请求主体无使用权限的提示信息。
如果检测结果为执行请求主体不在用户的办公软件使用权限范围内,则输出提示信息,以提示用户自身不具备对其操作的执行请求主体的操作权限,系统不能对该执行请求进行响应。从而起到对用户在客户端上的办公软件使用权限的控制,防止用户使用超出权限范围内的办公软件。
例如,用户对办公软件Word、PPT、Excel具备使用权限,但其提交了通过Visio办公软件打开.vsd文件的执行请求,此时应提示用户不具备对Visio办公软件的使用权限,无法打开该.vsd文件。
步骤209,若执行请求主体为用户具备使用权限的办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列。
而当检测结果为执行请求主体在用户的办公软件使用权限范围内,则进一步在系统监控日志中查询本次提交执行请求的行为的行为记录,从中获取执行请求对应的执行请求主体的调用入口函数,以及与调用入口函数对应的系统调用序列,以便判断该执行请求是否为恶意应用程序的恶意操控,有助于提升文件的安全性。
步骤210,根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列。
本申请中,通过调用入口函数对应的实际的系统调用序列与标准调用序列进行比较分析执行请求是否为恶意应用程序的恶意操控,因此,获取系统调用序列后,应根据调用入口函数从预设标准调用序列表中查找与其匹配的标准调用序列。
在上述实施例中,具体地,用户的办公软件使用权限信息还包括每个用户具备使用权限的办公软件对应的执行权限。
步骤211,若系统调用序列与标准调用序列一致,则响应对文档文件的执行请求。
在本实施例中,步骤211具体包括:若系统调用序列与标准调用序列一致,则根据用户的办公软件使用权限信息,获取执行请求主体的执行权限;若执行请求主体的执行权限包括执行请求,则响应文档文件的执行请求。
如果执行请求对应的实际系统调用序列与预设标准调用序列表中对应的标准调用序列一致,说明此次对文档文件的操作属于正常操作,不是由恶意应用程序操控的,为了实现对用户的软件使用权限的控制,进一步的获取用户对请求使用的办公软件的执行权限,从而在用户提交的执行请求在用户的执行权限范围内时,响应用户对文档文件的执行请求,满足用户的正常办公需求。另外,如果用户对其提交的执行请求不具备执行权限,应提示用户其对提交的执行请求无执行权限,避免用户反复操作浪费系统内存资源。
步骤212,若系统调用序列与标准调用序列不一致,则输出执行请求存在风险的提示信息。
由于软件被恶意攻击后产生的系统调用序列通常会发生改变,因此如果实际的系统调用序列与预设标准调用序列表中的标准调用序列不一致,说明办公软件可能已经被恶意攻击,正在受恶意应用程序的控制,若响应该执行请求会对文档文件的安全造成威胁,因此,应终止该执行请求并输出执行请求存在风险的提示信息,以确保系统中的文档文件免受恶意程序的操控,防止文件泄露或被恶意修改等威胁企业信息安全。
另外,除了获取执行请求对应的调用入口函数的系统调用序列,还可以从系统监控日志中提取出系统调用的入口地址和返回地址,并将该入口地址和返回地址与标准的入口地址和返回地址进行比较,结合系统调用序列与标准调用序列的比较结果,从而判断应终止该执行请求还是响应该执行请求。例如,若系统调用序列与标准调用序列不一致,系统调用的入口地址和返回地址与标准的入口地址和返回地址也不一致,那么直接终止目标应用程序的进程及其父进程;而若系统调用序列与标准调用序列不一致,但系统调用的入口地址和返回地址与标准的入口地址和返回地址一致,则进一步判断是否存在系统故障或其他人为误操作,而并非是恶意应用程序的攻击导致的系统调用序列与标准调用序列不同,以免影响用户的正常工作,从而实现对客户端文档文件更为精准的防护。
通过应用本实施例的技术方案,第一,客户端中的文档文件只能通过相应的办公软件操作,可以避免恶意程序直接对文档文件进行操作导致的文件被泄露、篡改的危险;第二,根据从获取内网服务器中用户的办公软件使用权限,对用户在设备中的对办公软件的操作权限进行管理,防止用户恶意使用不具备操作权限的办公软件,提升了系统安全性;第三,通过比较执行请求对应的调用入口函数的系统调用序列以及标准调用序列的一致性,只有当系统调用序列与标准调用序列一致时响应执行请求,可以有效阻止恶意应用程序通过可用办公软件操控文档文件,实现了对客户端中文档文件的安全防护,提高了企业信息安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种客户端,如图3所示,该客户端包括:执行请求拦截单元31、系统调用序列获取单元32、标准调用序列获取单元33、执行请求处理单元34。
执行请求拦截单元31,用于拦截对文档文件的执行请求,其中,执行请求携带有文档文件的执行请求主体;
系统调用序列获取单元32,用于若执行请求主体为办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列;
标准调用序列获取单元33,用于根据执行请求主体的调用入口函数,从预设标准调用序列表中获取与执行请求主体的调用入口函数匹配的标准调用序列;
执行请求处理单元34,用于根据调用入口函数对应的系统调用序列以及标准调用序列,处理执行请求。
在具体的应用场景中,如图4所示,执行请求处理单元34,具体包括:执行请求响应单元341、风险提示单元342。
执行请求响应单元341,用于若系统调用序列与标准调用序列一致,则响应对文档文件的执行请求;
风险提示单元342,用于若系统调用序列与标准调用序列不一致,则输出执行请求存在风险的提示信息。
在具体的应用场景中,如图4所示,该装置还包括:登录信息获取单元35、权限信息获取单元36。
登录信息获取单元35,用于拦截对文档文件的执行请求之前,当用户登录客户端时,获取用户的登录信息;
权限信息获取单元36,用于根据用户的登录信息,从内网服务器获取用户的办公软件使用权限信息,用户的办公软件使用权限信息包括用户具备使用权限的办公软件;
系统调用序列获取单元32,具体包括:办公软件检测单元321、第一权限提示单元322、系统调用序列获取子单元323。
办公软件检测单元321,用于若执行请求主体为办公软件,则检测执行请求主体是否为用户具备使用权限的办公软件;
第一权限提示单元322,用于若执行请求主体不为用户具备使用权限的办公软件,则输出用户对执行请求主体无使用权限的提示信息;
系统调用序列获取子单元323,用于若执行请求主体为用户具备使用权限的办公软件,则获取执行请求主体的调用入口函数以及与调用入口函数对应的系统调用序列。
在上述实施例中,具体地,用户的办公软件使用权限信息还包括每个用户具备使用权限的办公软件对应的执行权限。
执行请求响应单元341,具体用于若系统调用序列与标准调用序列一致,则根据用户的办公软件使用权限信息,获取执行请求主体的执行权限;
若执行请求主体的执行权限包括执行请求,则响应文档文件的执行请求。
在具体的应用场景中,如图4所示,该客户端还包括:权限提示单元37、行为记录发送单元38、清空单元39。
权限提示单元37,用于拦截对文档文件的执行请求之后,若执行请求主体为非办公软件,则输出执行请求无权限的提示信息。
行为记录发送单元38,用于获取用户的登录信息之前,向内网服务器发送客户端中的每个办公软件的软件行为记录,以使内网服务器根据软件行为记录分析每个办公软件对应的调用入口函数以及调用入口函数对应的标准调用序列。
清空单元39,用于根据用户的登录信息,从内网服务器获取用户的办公软件使用权限信息之后,清空客户端的本地缓存,存储用户的办公软件使用权限信息。
需要说明的是,本申请实施例提供的一种客户端所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
进一步的,本申请实施例还提供一种文档文件的安全防护系统,如图5所示,该系统包括:如图3或图4所示的客户端以及内网服务器;内网服务器用于接收用户的登录信息,并按照用户的登录信息查找用户的办公软件使用权限信息后,反馈用户的办公软件使用权限信息;以及接收每个办公软件的软件行为记录,并按照软件行为记录分析每个办公软件对应的调用入口函数以及调用入口函数对应的标准调用序列。
本申请实施例提供的客户端、内网服务器及文档文件的安全防护系统,客户端向内网服务器发送客户端中存储的每个办公软件的软件行为记录,内网服务器按照接收到的软件行为记录后,内网服务器可以综合分析内网中的多个客户端的软件行为记录,得到每个办公软件对应的调用入口函数以及调用入口函数对应的标准调用序列,再将每个办公软件对应的调用入口函数和对应的标准调用序列反馈至客户端中,以供客户端进行文档文件的安全防护。在用户登录客户端时,客户端将获取的用户的登录信息发送至内网服务器;内网服务器接收用户的登录信息,并按照用户的登录信息查找用户的办公软件使用权限信息后,向客户端进行反馈,从而实现对用户在客户端上的办公软件使用权限的控制。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的文档文件的安全防护方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的文档文件的安全防护方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现对客户端中的文档文件的执行请求进行拦截,并在执行请求的主体为办公软件时,从系统监控日志中查询该执行请求对应的实际的调用入口函数以及调用入口函数对应的实际的系统调用序列,然后根据预设标准调用序列表查询与调用入口函数匹配的标准调用序列,从而对调用入口函数对应的系统调用序列和标准调用序列进行分析,得到对执行请求的处理方案。本申请能够有效避免恶意应用程序对文档文件的操控,实现对系统文档文件的安全防护,有助于提高企业信息的安全性。
本发明实施例提供了以下技术方案:
A1、一种文档文件的安全防护方法,包括:
拦截对所述文档文件的执行请求,其中,所述执行请求携带有所述文档文件的执行请求主体;
若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列;
根据所述执行请求主体的调用入口函数,从预设标准调用序列表中获取与所述执行请求主体的调用入口函数匹配的标准调用序列;
根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求。
A2、根据A1所述的方法,所述根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求,具体包括:
若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求;
若所述系统调用序列与所述标准调用序列不一致,则输出所述执行请求存在风险的提示信息。
A3、根据A2所述的方法,所述拦截对所述文档文件的执行请求之前,所述方法还包括:
当用户登录所述客户端时,获取所述用户的登录信息;
根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息,所述用户的办公软件使用权限信息包括所述用户具备使用权限的办公软件;
所述若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列,具体包括:
若所述执行请求主体为办公软件,则检测所述执行请求主体是否为所述用户具备使用权限的办公软件;
若所述执行请求主体不为所述用户具备使用权限的办公软件,则输出所述用户对所述执行请求主体无使用权限的提示信息;
若所述执行请求主体为所述用户具备使用权限的办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列。
A4、根据A3所述的方法,所述用户的办公软件使用权限信息还包括每个所述用户具备使用权限的办公软件对应的执行权限;
所述若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求,具体包括:
若所述系统调用序列与所述标准调用序列一致,则根据所述用户的办公软件使用权限信息,获取所述执行请求主体的执行权限;
若所述执行请求主体的执行权限包括所述执行请求,则响应所述文档文件的执行请求。
A5、根据A1所述的方法,所述拦截对所述文档文件的执行请求之后,所述方法还包括:
若所述执行请求主体为非办公软件,则输出所述执行请求主体对所述文档文件无操作权限的提示信息。
A6、根据A3至A5中任一项所述的方法,所述获取所述用户的登录信息之前,所述方法还包括:
向所述内网服务器发送所述客户端中的每个办公软件的软件行为记录,以使所述内网服务器根据所述软件行为记录分析所述每个办公软件对应的调用入口函数以及所述调用入口函数对应的标准调用序列。
A7、根据A3至A5中任一项所述的方法,所述根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息之后,所述方法还包括:
清空所述客户端的本地缓存,存储所述用户的办公软件使用权限信息。
B8、一种客户端,包括:
执行请求拦截单元,用于拦截对所述文档文件的执行请求,其中,所述执行请求携带有所述文档文件的执行请求主体;
系统调用序列获取单元,用于若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据所述执行请求主体的调用入口函数,从预设标准调用序列表中获取与所述执行请求主体的调用入口函数匹配的标准调用序列;
执行请求处理单元,用于根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求。
B9、根据B8所述的客户端,所述执行请求处理单元,具体包括:
执行请求响应单元,用于若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求;
风险提示单元,用于若所述系统调用序列与所述标准调用序列不一致,则输出所述执行请求存在风险的提示信息。
B10、根据B9所述的客户端,还包括:
登录信息获取单元,用于拦截对所述文档文件的执行请求之前,当用户登录客户端时,获取所述用户的登录信息;
权限信息获取单元,用于根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息,所述用户的办公软件使用权限信息包括所述用户具备使用权限的办公软件;
所述系统调用序列获取单元,具体包括:
办公软件检测单元,用于若所述执行请求主体为办公软件,则检测所述执行请求主体是否为所述用户具备使用权限的办公软件;
第一权限提示单元,用于若所述执行请求主体不为所述用户具备使用权限的办公软件,则输出所述用户对所述执行请求主体无使用权限的提示信息;
系统调用序列获取子单元,用于若所述执行请求主体为所述用户具备使用权限的办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列。
B11、根据B10所述的客户端,所述用户的办公软件使用权限信息还包括每个所述用户具备使用权限的办公软件对应的执行权限;
所述执行请求响应单元,具体用于若所述系统调用序列与所述标准调用序列一致,则根据所述用户的办公软件使用权限信息,获取所述执行请求主体的执行权限;
若所述执行请求主体的执行权限包括所述执行请求,则响应所述文档文件的执行请求。
B12、根据B8所述的客户端,还包括:
第二权限提示单元,用于拦截对所述文档文件的执行请求之后,若所述执行请求主体为非办公软件,则输出所述执行请求无权限的提示信息。
B13、根据B10至B12中任一项所述的客户端,还包括:
行为记录发送单元,用于获取所述用户的登录信息之前,向所述内网服务器发送所述客户端中的每个办公软件的软件行为记录,以使所述内网服务器根据所述软件行为记录分析所述每个办公软件对应的调用入口函数以及所述调用入口函数对应的标准调用序列。
B14、根据B10至B12中任一项所述的客户端,还包括:
清空单元,用于根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息之后,清空所述客户端的本地缓存,存储所述用户的办公软件使用权限信息。
C15、一种文档文件的安全防护系统,包括:如B8至B14中任一项所述的客户端以及内网服务器;
所述内网服务器用于接收来自所述客户端的用户的登录信息,并按照所述用户的登录信息查找所述用户的办公软件使用权限信息后,反馈所述用户的办公软件使用权限信息;以及
接收来自所述客户端的每个办公软件的软件行为记录,并按照所述软件行为记录分析所述每个办公软件对应的调用入口函数以及所述调用入口函数对应的标准调用序列。
D16、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现A1至A7中任一项所述的文档文件的安全防护方法。
E17、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1至A7中任一项所述的文档文件的安全防护方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (10)

1.一种文档文件的安全防护方法,用于客户端,其特征在于,包括:
拦截对所述文档文件的执行请求,其中,所述执行请求携带有所述文档文件的执行请求主体;
若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列;
根据所述执行请求主体的调用入口函数,从预设标准调用序列表中获取与所述执行请求主体的调用入口函数匹配的标准调用序列;
根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求,具体包括:
若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求;
若所述系统调用序列与所述标准调用序列不一致,则输出所述执行请求存在风险的提示信息。
3.根据权利要求2所述的方法,其特征在于,所述拦截对所述文档文件的执行请求之前,所述方法还包括:
当用户登录所述客户端时,获取所述用户的登录信息;
根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息,所述用户的办公软件使用权限信息包括所述用户具备使用权限的办公软件;
所述若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列,具体包括:
若所述执行请求主体为办公软件,则检测所述执行请求主体是否为所述用户具备使用权限的办公软件;
若所述执行请求主体不为所述用户具备使用权限的办公软件,则输出所述用户对所述执行请求主体无使用权限的提示信息;
若所述执行请求主体为所述用户具备使用权限的办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列。
4.根据权利要求3所述的方法,其特征在于,所述用户的办公软件使用权限信息还包括每个所述用户具备使用权限的办公软件对应的执行权限;
所述若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求,具体包括:
若所述系统调用序列与所述标准调用序列一致,则根据所述用户的办公软件使用权限信息,获取所述执行请求主体的执行权限;
若所述执行请求主体的执行权限包括所述执行请求,则响应所述文档文件的执行请求。
5.根据权利要求1所述的方法,其特征在于,所述拦截对所述文档文件的执行请求之后,所述方法还包括:
若所述执行请求主体为非办公软件,则输出所述执行请求主体对所述文档文件无操作权限的提示信息。
6.根据权利要求3至5中任一项所述的方法,其特征在于,所述获取所述用户的登录信息之前,所述方法还包括:
向所述内网服务器发送所述客户端中的每个办公软件的软件行为记录,以使所述内网服务器根据所述软件行为记录分析所述每个办公软件对应的调用入口函数以及所述调用入口函数对应的标准调用序列。
7.根据权利要求3至5中任一项所述的方法,其特征在于,所述根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息之后,所述方法还包括:
清空所述客户端的本地缓存,存储所述用户的办公软件使用权限信息。
8.一种客户端,其特征在于,包括:
执行请求拦截单元,用于拦截对所述文档文件的执行请求,其中,所述执行请求携带有所述文档文件的执行请求主体;
系统调用序列获取单元,用于若所述执行请求主体为办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列;
标准调用序列获取单元,用于根据所述执行请求主体的调用入口函数,从预设标准调用序列表中获取与所述执行请求主体的调用入口函数匹配的标准调用序列;
执行请求处理单元,用于根据所述调用入口函数对应的系统调用序列以及所述标准调用序列,处理所述执行请求。
9.根据权利要求8所述的客户端,其特征在于,所述执行请求处理单元,具体包括:
执行请求响应单元,用于若所述系统调用序列与所述标准调用序列一致,则响应对所述文档文件的执行请求;
风险提示单元,用于若所述系统调用序列与所述标准调用序列不一致,则输出所述执行请求存在风险的提示信息。
10.根据权利要求9所述的客户端,其特征在于,所述装置还包括:
登录信息获取单元,用于拦截对所述文档文件的执行请求之前,当用户登录客户端时,获取所述用户的登录信息;
权限信息获取单元,用于根据所述用户的登录信息,从内网服务器获取所述用户的办公软件使用权限信息,所述用户的办公软件使用权限信息包括所述用户具备使用权限的办公软件;
所述系统调用序列获取单元,具体包括:
办公软件检测单元,用于若所述执行请求主体为办公软件,则检测所述执行请求主体是否为所述用户具备使用权限的办公软件;
第一权限提示单元,用于若所述执行请求主体不为所述用户具备使用权限的办公软件,则输出所述用户对所述执行请求主体无使用权限的提示信息;
系统调用序列获取子单元,用于若所述执行请求主体为所述用户具备使用权限的办公软件,则获取所述执行请求主体的调用入口函数以及与所述调用入口函数对应的系统调用序列。
CN201811640558.0A 2018-12-29 2018-12-29 文档文件的安全防护方法、客户端、系统及存储介质 Active CN109800568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811640558.0A CN109800568B (zh) 2018-12-29 2018-12-29 文档文件的安全防护方法、客户端、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811640558.0A CN109800568B (zh) 2018-12-29 2018-12-29 文档文件的安全防护方法、客户端、系统及存储介质

Publications (2)

Publication Number Publication Date
CN109800568A true CN109800568A (zh) 2019-05-24
CN109800568B CN109800568B (zh) 2021-01-15

Family

ID=66558208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811640558.0A Active CN109800568B (zh) 2018-12-29 2018-12-29 文档文件的安全防护方法、客户端、系统及存储介质

Country Status (1)

Country Link
CN (1) CN109800568B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581184A (zh) * 2013-10-31 2014-02-12 中国电子科技集团公司第十五研究所 移动终端访问企业内网服务器的方法和系统
CN103810428A (zh) * 2014-02-24 2014-05-21 珠海市君天电子科技有限公司 一种宏病毒检测方法及装置
CN103839005A (zh) * 2013-11-22 2014-06-04 北京智谷睿拓技术服务有限公司 移动操作系统的恶意软件检测方法和恶意软件检测系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581184A (zh) * 2013-10-31 2014-02-12 中国电子科技集团公司第十五研究所 移动终端访问企业内网服务器的方法和系统
CN103839005A (zh) * 2013-11-22 2014-06-04 北京智谷睿拓技术服务有限公司 移动操作系统的恶意软件检测方法和恶意软件检测系统
CN103810428A (zh) * 2014-02-24 2014-05-21 珠海市君天电子科技有限公司 一种宏病毒检测方法及装置

Also Published As

Publication number Publication date
CN109800568B (zh) 2021-01-15

Similar Documents

Publication Publication Date Title
AU2019200445B2 (en) Methods and apparatus for dealing with malware
EP2860657B1 (en) Determining a security status of potentially malicious files
US20180268139A1 (en) Virus detection method, terminal and server
US8863284B1 (en) System and method for determining a security status of potentially malicious files
CN103679031B (zh) 一种文件病毒免疫的方法和装置
CN109714350A (zh) 应用程序的权限控制方法及装置、存储介质、计算机设备
EP3516572B1 (en) Dynamic reputation indicator for optimizing computer security operations
US9811661B1 (en) System and method for protecting computers from unauthorized remote administration
US11729219B2 (en) Cloud security system implementing service action categorization
US11374946B2 (en) Inline malware detection
US20210019412A1 (en) Generating models for performing inline malware detection
US20230325501A1 (en) Heidi: ml on hypervisor dynamic analysis data for malware classification
US20230306114A1 (en) Method and system for automatically generating malware signature
CN107426231A (zh) 一种识别用户行为的方法及装置
CN109815701A (zh) 软件安全的检测方法、客户端、系统及存储介质
CN109783316A (zh) 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备
JP2013109553A (ja) プログラムのホワイトリスト配信装置及び方法
US10938849B2 (en) Auditing databases for security vulnerabilities
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
CN109800568A (zh) 文档文件的安全防护方法、客户端、系统及存储介质
US20230069731A1 (en) Automatic network signature generation
Lemmou et al. PrincessLocker analysis
CN109784037A (zh) 文档文件的安全防护方法及装置、存储介质、计算机设备
CN109726548A (zh) 应用程序行为的处理方法、服务器、系统及存储介质
US20240320338A1 (en) Heidi: ml on hypervisor dynamic analysis data for malware classification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province

Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd.

Patentee after: QAX Technology Group Inc.

Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province

Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd.

Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd.