CN113032785A - 一种文档检测方法、装置、设备及存储介质 - Google Patents
一种文档检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113032785A CN113032785A CN202110327188.0A CN202110327188A CN113032785A CN 113032785 A CN113032785 A CN 113032785A CN 202110327188 A CN202110327188 A CN 202110327188A CN 113032785 A CN113032785 A CN 113032785A
- Authority
- CN
- China
- Prior art keywords
- document
- detection
- detected
- dynamic behavior
- static
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种文档检测方法、装置、设备及存储介质。该方法的步骤包括:接收待检测文档以及检测配置参数;基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;根据静态文件特征以及动态行为特征生成安全检测结果。由于本方法基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。此外,本申请还提供一种文档检测装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及计算机安全领域,特别是涉及一种文档检测方法、装置、设备及存储介质。
背景技术
近年来,带来信息泄漏或非法访问等威胁的不正当程序,即恶意软件的数量以及类型日渐增加。恶意软件在感染后从攻击者经由服务器等接收指令,带来攻击或信息泄漏等威胁。
在普遍情况下,恶意软件感染始于恶意文档,由于用户对于文档类型的文件的日常使用频繁程度较高,因此以文档的形式导致恶意软件的安装已经成为入侵计算机信息系统的一种常见方法,利用恶意文档进行网络攻击一直是攻击者的首选方式之一。当前普遍采用对文档的静态代码进行分析的静态检测方式对于文档进行安全性检测,由于静态检测本质上是对文档中静态代码的规则匹配,因此静态检测难以检测到文档对于最新漏洞,即0day漏洞的利用,并且在文档经过代码混淆处理后,往往能够绕过静态检测的规则,因此静态检测方式往往难以确保对于文档进行安全性检测的准确性。
由此可见,提供一种文档检测方法,以相对确保对文档进行安全性检测的准确性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种文档检测方法、装置、设备及存储介质,以相对确保对文档进行安全性检测的准确性。
为解决上述技术问题,本申请提供一种文档检测方法,包括:
接收待检测文档以及检测配置参数;
基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;
根据静态文件特征以及动态行为特征生成安全检测结果。
优选地,检测配置参数包括静态检测规则参数、动态检测规则参数以及环境配置参数;
基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,包括:
基于静态检测规则参数提取待检测文档的静态文件特征;
根据环境配置参数配置得到文档执行环境;
基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征。
优选地,根据环境配置参数配置得到文档执行环境,包括:
根据环境配置参数在沙箱中配置得到文档执行环境。
优选地,根据静态文件特征以及动态行为特征生成安全检测结果,包括:
根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分;
基于静态风险评分及动态风险评分得到安全检测结果。
优选地,对静态风险评分以及动态风险评分执行加权平均运算,得到安全检测结果,包括:
对静态风险评分以及动态风险评分执行加权平均运算生成混合特征评分;
根据混合特征评分生成异常判定结果;
基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果。
优选地,在基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果之后,方法还包括:
将安全检测结果存储至数据库,以在接收到结果获取指令时输出安全检测结果。
优选地,静态文件特征包括VBA代码特征、DDE字段特征、nday漏洞特征中的一项或多项特征;
动态行为特征包括注册表特征、进程特征、文档操作特征中的一项或多项特征。
此外,本申请还提供一种文档检测系统,包括混合特征提取组件以及恶意文档判定组件,混合特征提取组件具有主控机以及一至多台分析机;
混合特征提取组件,用于通过主控机接收待检测文档,基于待检测文档创建分析任务,并将分析任务分配至处于空闲状态的分析机;并利用分析机接收待检测文档;根据分析任务提取待检测文档的静态文件特征和动态行为特征;在达到指定的分析时间后静态文件特征以及动态行为特征上传至恶意文档判定组件;
恶意文档判定组件,用于获取混合特征提取组件生成的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。
此外,本申请还提供一种文档检测装置,包括:
文档参数接收模块,用于接收待检测文档以及检测配置参数;
混合特征提取模块,用于基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;
检测结果生成模块,用于根据静态文件特征以及动态行为特征生成安全检测结果。
此外,本申请还提供一种文档检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的文档检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的文档检测方法的步骤。
本申请所提供的文档检测方法,首先接收待检测文档以及检测配置参数,进而基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。由于本方法基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。此外,本申请还提供一种文档检测装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种文档检测方法的流程图;
图2为本申请实施例公开的一种具体的文档检测方法的流程图;
图3为本申请实施例公开的一种具体的文档检测方法的流程图;
图4为本申请公开的一种场景实施例下的系统架构示意图;
图5为本申请实施例公开的一种文档检测装置的结构示意图;
图6为本申请实施例公开的一种文档检测设备的硬件组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
在普遍情况下,恶意软件感染始于恶意文档,由于用户对于文档类型的文件的日常使用频繁程度较高,因此以文档的形式导致恶意软件的安装已经成为入侵计算机信息系统的一种常见方法,利用恶意文档进行网络攻击一直是攻击者的首选方式之一。当前普遍采用对文档的静态代码进行分析的静态检测方式对于文档进行安全性检测,由于静态检测本质上是对文档中静态代码的规则匹配,因此静态检测难以检测到文档对于最新漏洞,即0day漏洞的利用,并且在文档经过代码混淆处理后,往往能够绕过静态检测的规则,因此静态检测方式往往难以确保对于文档进行安全性检测的准确性。
为此,本申请的核心是提供一种文档检测方法,以相对确保对文档进行安全性检测的准确性。
请参见图1所示,本申请实施例公开了一种文档检测方法,包括:
步骤S10:接收待检测文档以及检测配置参数。
需要说明的是,文档是软件开发使用和维护中的必备资料。软件文档或者源代码文档是指与软件系统及其软件工程过程有关联的文本实体。文档的类型包括软件需求文档,设计文档,测试文档,用户手册等。文档能提高软件开发的效率,保证软件的质量,而且在软件的使用过程中有指导、帮助的作用,尤其在维护工作中,文档是不可或缺的资料。
本步骤中接收到的待检测文档指的是需要进行安全性检测的文档,另外,检测配置参数指的是对待检测文档进行特征提取时需要参照的提取规则和/或对待检测文档的执行文档检测过程中对于运算资源的使用规则,获取检测配置参数的目的是为了确保在后续步骤中基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征的可控性。
步骤S11:基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征。
需要说明的是,本步骤中的静态文件特征指的是待检测文档在未执行时,具有的代码特征,动态行为特征指的是待检测文档在被读写或执行时产生的操作行为特征或运算资源调用特征。
在接收待检测文档以及检测配置参数之后,本步骤进一步基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,目的是在后续步骤中通过静态文件特征以及动态行为特征综合进行文档检测。
步骤S12:根据静态文件特征以及动态行为特征生成安全检测结果。
在基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征之后,本步骤进一步根据静态文件特征以及动态行为特征生成安全检测结果,即安全检测结果基于待检测文档在静态文件维度以及动态行为维度共同生成。
本申请所提供的文档检测方法,首先接收待检测文档以及检测配置参数,进而基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。由于本方法基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。
请参见图2所示,本申请实施例公开了一种文档检测方法,包括:
步骤S20:接收待检测文档以及检测配置参数。
其中,检测配置参数包括静态检测规则参数、动态检测规则参数以及环境配置参数。
需要说明的是,本实施例中的检测配置参数进一步包括静态检测规则参数、动态检测规则参数以及环境配置参数。其中,静态检测规则指的是对待检测文档中的静态文件特征进行提取时依照的提取规则,动态检测规则指的是在待检测文档执行时,对待检测文档中的动态行为特征进行提取所依照的提取规则,而环境配置参数指的是配置待检测文档执行环境的配置参数。
步骤S21:基于静态检测规则参数提取待检测文档的静态文件特征。
在获取到静态检测规则参数之后,本步骤进一步基于静态检测规则参数提取待检测文档的静态文件特征,以此能够确保对于静态文件特征进行提取的可靠性。
步骤S22:根据环境配置参数配置得到文档执行环境。
在获取到环境配置参数之后,本步骤根据环境配置参数配置得到文档执行环境,进而文档执行环境能够根据环境配置参数相对灵活的进行配置,目的是在后续步骤中将待检测文档运行于该文档执行环境中,以此确保对于待检测文档所运行环境中触发漏洞所需的动态链接库和/或组件的全面性以及可控性,进而当待检测文档为恶意文档时,确保待检测文档在文档执行环境中执行时相对全面的表现出恶意行为。
步骤S23:基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征。
在根据环境配置参数配置得到文档执行环境之后,本步骤进一步基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征,以此能够确保对于动态行为特征进行提取的可靠性。
另外需要说明的是,在接收待检测文档、静态检测规则参数、动态检测规则参数以及环境配置参数之后,基于静态检测规则参数提取待检测文档的静态文件特征的步骤,与根据环境配置参数配置得到文档执行环境以及基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征的步骤之间无固定的执行顺序,应根据实际需求而定。
步骤S24:根据静态文件特征以及动态行为特征生成安全检测结果。
本实施方式通过静态检测规则参数提取待检测文档的静态文件特征,并根据环境配置参数配置文档执行环境,进而在文档执行环境下基于动态检测规则参数提取待检测文档执行时产生的动态行为特征的方式,进一步提高了静态文件特征以及动态行为特征的准确性,进而确保了安全检测结果的准确性。
在上述实施例的基础上,作为一种优选的实施方式,根据环境配置参数配置得到文档执行环境,包括:
根据环境配置参数在沙箱中配置得到文档执行环境。
需要说明的是,本实施方式中的重点在于根据环境配置参数在沙箱中配置文档执行环境,进而通过将待检测文档运行于沙箱中的文档执行环境的方式提取待检测文档执行时的动态行为特征。由于沙箱(Sandbox)是通过虚拟化技术创建的系统隔离环境,待测样本在沙箱中运行过程中结合各类查杀引擎,能够帮助安全分析师快速分析各类疑似的攻击样本,包括鱼叉式钓鱼邮件的恶意文档附件、网络安全事件应急响应中的木马样本等。本实施方式通过在沙箱中配置待检测文档执行时的文档执行环境,以此实现在沙箱中提取待检测文档的动态行为特征,相对确保了运行待检测文档过程的安全性以及可靠性。另外,本实施方式中的沙箱进一步包括本地沙箱或在线云沙箱。
更进一步的,作为一种优选的实施方式,根据环境配置参数在沙箱中配置得到文档执行环境,包括:
根据环境配置参数在Cuckoo沙箱中配置得到文档执行环境。
需要说明的是,本实施方式中用于配置文档执行环境的沙箱为Cuckoo沙箱,由于Cuckoo沙箱是一个开源的自动恶意软件分析系统,可以用于自动运行和分析文件,并可以获取到全面的分析结果,具有较高的可扩展性以及应用灵活性。
请参见图3所示,本申请实施例公开了一种文档检测方法,包括:
步骤S30:接收待检测文档以及检测配置参数。
步骤S31:基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征。
步骤S32:根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分。
需要说明的是,本实施例在基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征之后,进一步根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分。根据静态文件特征生成静态风险评分时,可以是根据预设的静态文件特征的关键字与评分之间的对应关系,生成与静态文件特征对应的静态风险评分;根据动态行为特征生成动态风险评分时,可以是根据预设的动态行为特征的关键字与评分之间的对应关系,生成与动态行为特征对应的动态风险评分。
步骤S33:基于静态风险评分及动态风险评分得到安全检测结果。
在根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分之后,本步骤进一步基于静态风险评分及动态风险评分得到安全检测结果。
基于静态风险评分及动态风险评分得到安全检测结果时,可以通过对静态风险评分以及动态风险评分执行加权平均运算,即在对静态风险评分与动态风险评分增加相应的运算权重值的基础上,计算静态风险评分与动态风险评分之间的平均值,以此进一步得到安全检测结果。本实施例进一步确保了根据静态文件特征以及动态行为特征生成安全检测结果的准确性。
更进一步的,作为一种优选的实施方式,对静态风险评分以及动态风险评分执行加权平均运算,得到安全检测结果,包括:
对静态风险评分以及动态风险评分执行加权平均运算生成混合特征评分;
根据混合特征评分生成异常判定结果;
基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果。
在本实施方式中,对静态风险评分以及动态风险评分执行加权平均运算后,进一步生成混合特征评分,在此基础上,基于混合特征评分生成异常判定结果,即根据混合特征评分进行待检测文档为安全文档或恶意文档的判定,以此得到异常判定结果。根据混合特征评分生成异常判定结果的一种方式可以是通过判断混合特征评分是否达到预设阈值的方式生成异常判定结果。异常判定结果的内容包括但不限定于是安全文档、恶意文档以及无法识别的未知类型文档。在根据混合特征评分生成异常判定结果之后,本实施方式进一步基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果,以此进一步提高了安全检测结果内容的丰富性以及准确性。
更进一步的,作为一种优选的实施方式,在基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果之后,方法还包括:
将安全检测结果存储至数据库,以在接收到结果获取指令时输出安全检测结果。
需要说明的是,在基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果之后,本实施方式进一步将安全检测结果存储至数据库,目的是在接收到结果获取指令时能够基于数据库输出安全检测结果,进一步提高对于安全检测结果进行反复调用的可靠性。
在上述一系列实施例的基础上,作为一种优选的实施方式,静态文件特征包括VBA代码特征、DDE字段特征、nday漏洞特征中的一项或多项特征;
动态行为特征包括注册表特征、进程特征、文档操作特征中的一项或多项特征。
需要说明的是,本实施方式中,VBA(Visual Basic for Applications)是VisualBasic的一种宏语言,是在其桌面应用程序中执行通用的自动化任务的编程语言,待检测文档VBA代码记录有待检测文档的代码功能;DDE(Dynamic Data Exchange)字段为动态数据交换字段,记录有待检测文档进行数据交换的特征;nday漏洞为公开时间较长的漏洞。另外,注册表用于存储系统和应用程序的配置信息,通过注册表特征能够获悉系统配置信息的变更情况;进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础,通过进程特征能够获悉系统中运行的程序;文档操作特征指的是文档执行过程中执行的操作行为的相关特征。本实施方式进一步提高了静态文件特征以及动态行为特征的特征维度多样性,进而提高了根据静态文件特征以及动态行为特征生成安全检测结果的准确性。
为了加深对于本申请上述实施例的理解,下面提供一种具体应用场景下的场景实施例对本申请进行辅助说明。
如图4所示的,是本申请应用场景实施例下的系统架构示意图。
如图4所示的,场景实施例中的系统架构包括交互模块、分析模块以及存储模块。
交互模块负责提供本系统与外界的数据交互服务,主要由用户交互组件和环境交互组件两大组件构成。其中,用户交互组件采用流行的B/S架构进行设计,采取浏览器请求、服务器响应的工作模式,分析人员可以通过浏览器去访问本系统的控制管理界面,系统功能的主要部分全部架设在服务端完成,而不需要在本地耗费大量资源来运行核心服务。这种模式的主要特点是将客户端进行了统一,只需要使用浏览器就能够实现原本需要安装客户端才能实现的完整功能,有利于简化系统开发、降低维护成本和配置难度。交互模块中另一个组件是环境交互组件,主要由系统当前工作目录下conf文件夹内的多个配置文件构成。环境交互组件负责接收环境配置项的输入,并应用到其他各个系统组件中:系统运行前用户需要对各组件的配置文件进行修改,运行时各模块通过读取配置文件中的配置项以对各系统组件进行初始化,各组件依照预定义配置项执行对应的功能,例如可以通过修改配置文件来指定分析机IP地址、监听网络端口的名称、分析结果存储位置等。
分析模块负责提供本系统的核心功能,即尽可能强的恶意文档检出能力,主要由混合特征提取组件和恶意文档判定组件构成。混合特征提取组件由主控机和一至多台分析机组成,需要实现待检测文档分析任务的下发、文档混合特征的提取、特征提取结果的回传三大功能。混合特征提取组件的工作流程是,分析人员在主控机上传待检测文档后创建了一个分析任务,该组件首先将任务分配给当前空闲的分析机,分析机监听到主控机的连接请求,接收待检测文档并执行分析任务,提取出待检测文档的静态文件特征和动态行为特征,达到了指定的分析时间后将提取的混合特征上传至主控端并保存。恶意文档判定组件的运行流程是,首先接收混合特征提取组件回传的多个特征文件,包括分析日志文件、网络数据抓包文件、运行时释放的文件、进程转储文件、内存镜像文件、屏幕截图文件等,接着采用一系列恶意文档判定规则分别对静态文件特征和动态行为特征中可能存在的恶意项进行评估并加权,若分数达到了一定阈值则可以判断为待检测文档为恶意文档。上述的运行流程是完全自动化的,针对有非常明显恶意特征的文档具有较高的检出几率。不过为了减少漏报率,该组件最终还会生成一份分析报告供分析人员参考,对于分值处于可疑分段的未知文档则需要有经验的安全人员自行判断。
存储模块负责提供分析数据入库存储和分析文件存储服务,并提供用户查询数据库信息的接口,使用户可以在系统Web管理界面中对分析结果历史记录进行查阅。存储模块接收分析模块传入的分析结果数据和混合特征提取文件,将每份待检测文档的分析结果摘要存入数据库,并将混合特征提取文件存入此次分析对应的独立文件夹中,这种使用数据库配合文件系统进行存储的设计目的是为了便于从数据库中规则地查询分析数据,并在Web控制端中以分析报告摘要形式呈现给用户,在检测后期需要对分析结果进行取证时亦可方便地从文件系统中查询和提取混合特征文件。
此外,本申请还提供一种文档检测系统,包括混合特征提取组件以及恶意文档判定组件,混合特征提取组件具有主控机以及一至多台分析机;
混合特征提取组件,用于通过主控机接收待检测文档,基于待检测文档创建分析任务,并将分析任务分配至处于空闲状态的分析机;并利用分析机接收待检测文档;根据分析任务提取待检测文档的静态文件特征和动态行为特征;在达到指定的分析时间后静态文件特征以及动态行为特征上传至恶意文档判定组件;
恶意文档判定组件,用于获取混合特征提取组件生成的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。
需要说明的是,在本实施例中的文档检测系统由混合特征提取组件以及恶意文档判定组件构成,混合特征提取组件具有主控机以及一至多台分析机,分析人员在主控机上传待检测文档后创建了一个分析任务,该组件首先将任务分配给当前空闲的分析机,分析机监听到主控机的连接请求,接收待检测文档并执行分析任务,提取出待检测文档的静态文件特征和动态行为特征,达到了指定的分析时间后将提取的混合特征上传至主控端并保存。恶意文档判定组件的运行流程是,首先接收混合特征提取组件回传的多个特征文件进行安全检测。
由于本系统基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。
请参见图5所示,本申请实施例公开了一种文档检测装置,包括:
文档参数接收模块10,用于接收待检测文档以及检测配置参数;
混合特征提取模块11,用于基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;
检测结果生成模块12,用于根据静态文件特征以及动态行为特征生成安全检测结果。
此外,作为一种优选的实施方式,检测配置参数包括静态检测规则参数、动态检测规则参数以及环境配置参数;
混合特征提取模块11,包括:
静态提取模块,用于基于静态检测规则参数提取待检测文档的静态文件特征;
环境配置模块,用于根据环境配置参数配置得到文档执行环境;
动态提取模块,用于基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征。
此外,作为一种优选的实施方式,环境配置模块,包括:
沙箱配置模块,用于根据环境配置参数在沙箱中配置得到文档执行环境。
此外,作为一种优选的实施方式,沙箱配置模块,包括:
沙箱配置子模块,用于根据环境配置参数在Cuckoo沙箱中配置得到文档执行环境。
此外,作为一种优选的实施方式,检测结果生成模块12,包括:
评分模块,用于根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分;
评分运算模块,用于基于静态风险评分及动态风险评分得到安全检测结果。
此外,作为一种优选的实施方式,评分运算模块,包括:
混合评分运算模块,用于对静态风险评分以及动态风险评分执行加权平均运算生成混合特征评分;
判定结果生成模块,用于根据混合特征评分生成异常判定结果;
整合生成模块,用于基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果。
此外,作为一种优选的实施方式,装置还包括:
数据存储模块,用于将安全检测结果存储至数据库,以在接收到结果获取指令时输出安全检测结果。
此外,作为一种优选的实施方式,静态文件特征包括VBA代码特征、DDE字段特征、nday漏洞特征中的一项或多项特征;
动态行为特征包括注册表特征、进程特征、文档操作特征中的一项或多项特征。
本申请所提供的文档检测装置,首先接收待检测文档以及检测配置参数,进而基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。由于本装置基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。
基于上述程序模块的硬件实现,且为了实现本申请实施例的文档检测方法,本申请实施例还提供了一种文档检测设备,图6为本申请实施例文档检测设备的硬件组成结构示意图,如图6所示,文档检测设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的文档检测方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,文档检测设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持文档检测设备的操作。这些数据的示例包括:用于在文档检测设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的文档检测方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述文档检测方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各文档检测方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的文档检测方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述文档检测方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个文档检测方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述文档检测方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和文档检测方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述文档检测方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述文档检测方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台文档检测设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例的文档检测方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的文档检测设备,首先接收待检测文档以及检测配置参数,进而基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。由于本设备基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的文档检测方法的步骤。
本申请所提供的计算机可读存储介质,首先接收待检测文档以及检测配置参数,进而基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,并根据静态文件特征以及动态行为特征生成安全检测结果。由于本计算机可读存储介质基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。
以上对本申请所提供的一种文档检测方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种文档检测方法,其特征在于,包括:
接收待检测文档以及检测配置参数;
基于所述检测配置参数提取所述待检测文档的静态文件特征以及所述待检测文档执行时的动态行为特征;
根据所述静态文件特征以及所述动态行为特征生成安全检测结果。
2.根据权利要求1所述的文档检测方法,其特征在于,所述检测配置参数包括静态检测规则参数、动态检测规则参数以及环境配置参数;
所述基于所述检测配置参数提取所述待检测文档的静态文件特征以及所述待检测文档执行时的动态行为特征,包括:
基于所述静态检测规则参数提取所述待检测文档的所述静态文件特征;
根据所述环境配置参数配置得到文档执行环境;
基于所述动态检测规则参数提取所述待检测文档在所述文档执行环境下执行时产生的所述动态行为特征。
3.根据权利要求2所述的文档检测方法,其特征在于,所述根据所述环境配置参数配置得到文档执行环境,包括:
根据所述环境配置参数在沙箱中配置得到所述文档执行环境。
4.根据权利要求1所述的文档检测方法,其特征在于,所述根据所述静态文件特征以及所述动态行为特征生成安全检测结果,包括:
根据所述静态文件特征生成静态风险评分,并根据所述动态行为特征生成动态风险评分;
基于所述静态风险评分及所述动态风险评分得到所述安全检测结果。
5.根据权利要求4所述的文档检测方法,其特征在于,所述对所述静态风险评分以及所述动态风险评分执行加权平均运算,得到所述安全检测结果,包括:
对所述静态风险评分以及所述动态风险评分执行加权平均运算生成混合特征评分;
根据所述混合特征评分生成异常判定结果;
基于所述异常判定结果、所述静态文件特征以及所述动态行为特征生成所述安全检测结果。
6.根据权利要求5所述的文档检测方法,其特征在于,在所述基于所述异常判定结果、所述静态文件特征以及所述动态行为特征生成所述安全检测结果之后,所述方法还包括:
将所述安全检测结果存储至数据库,以在接收到结果获取指令时输出所述安全检测结果。
7.根据权利要求1至6任意一项所述的文档检测方法,其特征在于,所述静态文件特征包括VBA代码特征、DDE字段特征、nday漏洞特征中的一项或多项特征;
所述动态行为特征包括注册表特征、进程特征、文档操作特征中的一项或多项特征。
8.一种文档检测系统,其特征在于,包括混合特征提取组件以及恶意文档判定组件,所述混合特征提取组件具有主控机以及一至多台分析机;
所述混合特征提取组件,用于通过所述主控机接收待检测文档,基于所述待检测文档创建分析任务,并将所述分析任务分配至处于空闲状态的所述分析机;并利用所述分析机接收所述待检测文档;根据所述分析任务提取所述待检测文档的静态文件特征和动态行为特征;在达到指定的分析时间后所述静态文件特征以及所述动态行为特征上传至恶意文档判定组件;
所述恶意文档判定组件,用于获取所述混合特征提取组件生成的所述静态文件特征以及所述动态行为特征,并根据所述静态文件特征以及所述动态行为特征生成安全检测结果。
9.一种文档检测装置,其特征在于,包括:
文档参数接收模块,用于接收待检测文档以及检测配置参数;
混合特征提取模块,用于基于所述检测配置参数提取所述待检测文档的静态文件特征以及所述待检测文档执行时的动态行为特征;
检测结果生成模块,用于根据所述静态文件特征以及所述动态行为特征生成安全检测结果。
10.一种文档检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的文档检测方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的文档检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110327188.0A CN113032785A (zh) | 2021-03-26 | 2021-03-26 | 一种文档检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110327188.0A CN113032785A (zh) | 2021-03-26 | 2021-03-26 | 一种文档检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113032785A true CN113032785A (zh) | 2021-06-25 |
Family
ID=76474255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110327188.0A Pending CN113032785A (zh) | 2021-03-26 | 2021-03-26 | 一种文档检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113032785A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105825129A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
-
2021
- 2021-03-26 CN CN202110327188.0A patent/CN113032785A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105825129A (zh) * | 2015-01-04 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
Non-Patent Citations (1)
| Title |
|---|
| FRANCINE BERMAN: "《网格计算 支持全球化资源共享与协作的关键技术》" * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
| CN115134164B (zh) * | 2022-07-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| Spreitzenbarth et al. | Mobile-sandbox: having a deeper look into android applications | |
| US9875353B2 (en) | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium | |
| US20170316202A1 (en) | Rasp for scripting languages | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| US9507933B2 (en) | Program execution apparatus and program analysis apparatus | |
| KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
| CN112181833A (zh) | 一种智能化模糊测试方法、装置及系统 | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| CN110943984B (zh) | 一种资产安全保护方法及装置 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN112953896A (zh) | 日志报文的回放方法及装置 | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| Yang et al. | Ratscope: Recording and reconstructing missing rat semantic behaviors for forensic analysis on windows | |
| CN114050937A (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN113032785A (zh) | 一种文档检测方法、装置、设备及存储介质 | |
| CN114462048A (zh) | 基于网络靶场的自动化渗透测试方法及系统 | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| CN111767548A (zh) | 一种漏洞捕获方法、装置、设备及存储介质 | |
| CN112182581A (zh) | 应用测试方法、装置、应用测试设备和存储介质 | |
| CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN114153641A (zh) | 基于拦截器技术的审计日志动态实现方法及装置 | |
| CN111475783B (zh) | 数据检测方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |