CN113595981A - 上传文件威胁检测方法及装置、计算机可读存储介质 - Google Patents
上传文件威胁检测方法及装置、计算机可读存储介质 Download PDFInfo
- Publication number
- CN113595981A CN113595981A CN202110713275.XA CN202110713275A CN113595981A CN 113595981 A CN113595981 A CN 113595981A CN 202110713275 A CN202110713275 A CN 202110713275A CN 113595981 A CN113595981 A CN 113595981A
- Authority
- CN
- China
- Prior art keywords
- file
- uploaded
- threat
- detection
- uploading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种上传文件威胁检测方法及装置、计算机可读存储介质,本申请提供的方案包括:获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名;根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;将检测为可执行程序的目标上传文件确定为威胁文件。本申请可以有效检测上传文件中的恶意文件,降低Web网站被威胁攻击的风险。
Description
技术领域
本申请涉及车辆安全技术领域,尤其涉及一种上传文件威胁检测方法及装置、计算机可读存储介质。
背景技术
用户在使用Web网站过程中上传的文件中可能潜存的各种威胁攻击行为,为了降低网站被恶意攻击的风险,通常系统充许的上传的文件类型限定于一定的范围内,例如图片文件,或者文本文件。
但是非法用户会通过篡改上传文件类型等手段规避这种限制,由此造成上传的文件实际为恶意文件,在文件使用的后期产生更多的安全问题,从而对网络环境与硬件资产所形成安全威胁。
如何有效检测上传文件中的恶意文件,降低Web网站被威胁攻击的风险,提高Web网站的安全性,是目前需要解决的技术问题。
发明内容
本申请实施例的目的是提供一种上传文件威胁检测方法及装置、计算机可读存储介质,用以解决潜在的恶意上传文件导致Web网站被威胁攻击的问题。
为了解决上述技术问题,本说明书是这样实现的:
第一方面,提供了一种上传文件威胁检测方法,包括:获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展 MINE类型与文件扩展名;根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;将检测为可执行程序的目标上传文件确定为威胁文件。
可选的,获取上传文件对应的上传日志数据,包括:周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。
可选的,根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测,包括:识别上传文件对应上传日志数据中的文件头字符,得到上传文件的MINE类型;将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配;若不匹配,则确定所述上传文件为可疑上传文件。
可选的,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测,包括:从预定规则数据库中获取安全检测规则数据;将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配,确定所述可疑上传文件中是否包含源代码或二进制代码;若相匹配,则确定所述可疑上传文件的内容检测异常,为目标上传文件。
可选的,在对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前,还包括:创建接收安全检测规则数据的应用程序接口API;通过所述API接收规则管理系统新创建的安全检测规则数据;将接收的安全检测规则数据保存到所述预定规则数据库中。
可选的,检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序,包括:将所述目标上传文件放入威胁检测沙箱进行检测;若所述目标上传文件在所述威胁检测沙箱中可被执行,则检测出所述目标上传文件为可执行程序。
可选的,在将检测为可执行程序的目标上传文件确定为威胁文件之前,还包括:检测所述目标上传文件是否存在外部访问行为;若存在,则获取所述外部访问行为对应的IP地址和域名中至少一项;将所述外部访问行为对应的IP 地址和域名中至少一项与预定威胁情报库中的威胁信息进行匹配,所述威胁情报库用于存储IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系;将匹配到威胁信息的目标上传文件确定为威胁文件。
可选的,在将检测为可执行程序的目标上传文件确定为威胁文件之后,还包括:向安全运维系统发送所述威胁文件关联的威胁特征信息,所述威胁特征信息包括所述威胁文件的文件名、文件唯一标识符、文件内容异常信息描述及可执行程序威胁信息描述。
第二方面,提供了一种上传文件威胁检测装置,包括存储器和与所述存储器电连接的处理器,所述存储器存储有可在所述处理器运行的计算机程序,该计算机程序被该处理器执行时实现如第一方面所述的方法的步骤。
第三方面,提供了一种计算机可读存储介质,该计算机可读存储介质上存储计算机程序,该计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
在本申请实施例中,通过首先对上传文件的日志MINE类型与文件扩展名进行一致性检测确定可疑上传完文件,然后对可疑上传文件的内容文本进行安全检测,对于内容异常的上传文件再进行可执行程序检测来确定威胁文件,由此对上传文件进行多重威胁判断的安全检测,能够更深入、更精确地发现恶意上传文件潜在的安全风险。通过本申请实施例,可在文件上传的早期发现潜在威胁,减少后续攻击事件的发生,帮助安全运维人员发现威胁并进行安全应急响应。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的上传文件威胁检测方法的流程示意图。
图2是本申请实施例的上传文件威胁检测方法的应用场景示意图。
图3是本申请实施例的上传文件威胁检测方法示例图。
图4是本申请实施例的上传文件威胁检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本申请中附图编号仅用于区分方案中的各个步骤,不用于限定各个步骤的执行顺序,具体执行顺序以说明书中描述为准。
为了解决现有技术中存在的问题,本申请实施例提供一种上传文件威胁检测方法,图1是本申请实施例的上传文件威胁检测方法的流程示意图。如图1 所示,包括以下步骤:
步骤102,获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名。
用户上传文件时会产生记录日志,文件上传系统将对应的上传日志信息的历史性文本存储下来。
可选的,获取上传文件对应的上传日志数据,包括:周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。
本申请中,可以在文件上传存储系统安装数据代理服务软件,例如NXLog 数据代理服务来收集文件上传存储系统服务器上存储的上传日志。周期性接收数据代理服务软件例如以Syslog网络协议格式发送的上传日志数据。在获取到上传日志数据后,对上传日志数据的格式进行整理并保持。
具体地,可以结合图2实施例的上传文件威胁检测方法的应用场景进行说明。
通过数据代理服务软件收集文件上传存储系统22上存储的上传日志,并周期性发送上传日志到恶意文件上传分析日志采集系统30,恶意文件上传分析日志采集系统30对接收到的上传日志数据进行格式整理,得到上传日志数据格式包括如下字段:
【文件名】【文件HASH】【MIME类型】【文件扩展名】
【文件HASH】为上传文件对应生成的哈希值,为该上传文件的文件唯一标识符。
恶意文件上传分析日志采集系统30将上述格式的上传日志数据写入ElasticSearch日志采集数据库集群32对应数据库索引表中保存,形成下面信息日志,拆分的字段如下:
【索引名】【文件名】【文件HASH】【MIME类型】【文件扩展名】
其中,【索引名】是指ElasticSearch数据库的表索引名。
步骤104,根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测。
具体地,步骤104的一致性检测包括:识别上传文件对应上传日志数据中的文件头字符,得到上传文件的MINE类型,将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配;若不匹配,则确定所述上传文件为可疑上传文件。
不同的MINE类型与文件扩展名具有对应的映射关系,例如文件后缀为“.txt”,对应的MINE类型为“text/plain”;后缀为“.html“或”“.htm”,对应的MINE类型为“text/html”等等。
上传文件的MINE类型由系统识别,而文件扩展名则可以由用户任意修改。非法用户可以将上传的恶意文件扩展名修改为符合文件上传限制范围内的文件扩展名,以实施威胁攻击。
因此,通过步骤104,可以将MINE类型与文件扩展名检测不一致上传文件检测为可疑的上传文件。由于用户可能存在误操作而导致上传文件的MINE 类型与文件扩展名检测不一致,这里步骤104检测的上传文件确定为可疑的上传文件,后续需要结合进一步的检测手段来确认该可疑上传文件是否为真正的恶意文件。
步骤106,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测。
可选的,在步骤106中,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测,包括:从预定规则数据库中获取安全检测规则数据;将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配,确定所述可疑上传文件中是否包含源代码或二进制代码;若相匹配,则确定所述可疑上传文件的内容检测异常,为目标上传文件。
这里,文件内容异常是检测上传文件是否为可执行文件,例如exe类型的文件。如果可疑上传文件的文件内容包含恶意源代码或二进制代码,则认为该可疑上传文件可能是可执行文件,检测该上传文件的内容异常。
安全检测规则数据是用于文件内容异常检测的规则,由安全运维人员创建。按照规则数据库中获取的各个规则轮训检测上传文件的内容是否异常,为了减轻系统检测负担,提高检测效率,可以根据当前时间获取规则有效期时间内的对应规则进行检测。有效期时间之前的规则则不会获取,例如有效期时间为 2020年1月1日,则该日期之前的规则不会获取并用于检测文件内容,该日期之后的规则可以用于检测文件内容。
安全运维人员创建的规则会不断增加或更新,为了及时获取和更新对应的安全检测规则数据,本申请实施例中,在对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前,还包括:创建接收安全检测规则数据的应用程序接口API;通过所述API接收规则管理系统新创建的安全检测规则数据;将接收的安全检测规则数据保存到所述预定规则数据库中。
结合图2来说,文件检测规则管理系统24用于对应规则的管理及存储,通过创建一个接收安全检测规则数据的REST API接口,当安全运营人员新加一条规则时,文件检测规则管理系统24则调用RESTAPI接口以将新增的规则数据发送到恶意文件上传分析日志采集系统30,并保存到ElasticSearch数据库中。
恶意文件上传分析日志采集系统30收集安全检测规则数据,并对接收到的安全检测规则数据进行格式整理,得到安全检测规则数据格式包括如下字段:
【规则名】【文件检测威胁信息描述】【规则内容】【有效期时间】
例如【规则名】为木马,【文件检测威胁信息描述】为PHB上传文件如果含有16进制字符串,即为PHB木马威胁;【规则内容】为文件内容=16进制字符串;【有效期时间】例如2020年1月1日。
恶意文件上传分析日志采集系统30将上述格式的安全检测规则数据写入ElasticSearch日志采集数据库集群32对应数据库索引表中保存,形成下面信息规则,拆分的字段如下:
【索引名】【规则名】【文件检测威胁信息描述】【规则内容】【有效期时间】
其中,【索引名】是指ElasticSearch数据库的表索引名。
在本申请实施例的上传文件威胁检测方法中,恶意文件上传分析日志采集系统30对文件上传存储系统22的用户文件上传日志信息进行聚合、对文件检测规则管理系统24的安全运维人员创建的文件内容检测规则信息进行聚合,将这些信息通过Syslog协议和RESTAPI接口进行数据的收集,然后对数据的格式进行整理格式化,保存到ElasticSearch数据库中。
通过步骤102定期的访问REST API接口取得被保存在ElasticSearch数据中的数据,取得上传日志数据,通过步骤104判断可能存在的恶意文件上传,即可疑上传文件,然后通过步骤106对可疑上传文件的文件内容进行按安全检测规则的内容进行检测,进一步确认用户上传的是不是恶意的文件,如果通过文件内容异常检测发现是恶意文件后,则执行步骤108。
步骤108,检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序。
在步骤106中,通过文件内容检测上传文件存在代码文本,但有些代码文本并不能够作为可执行程序被执行,不存在非法攻击的问题,对于Web网站的威胁性不强。此时,为了精确检测存在真正威胁的上传文件,进一步将步骤106 检测出的包含代码的上传文件是否能够被执行。
可选的,检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序,包括:将所述目标上传文件放入威胁检测沙箱进行检测;若所述目标上传文件在所述威胁检测沙箱中可被执行,则检测出所述目标上传文件为可执行程序。
沙箱系统对上传文件进行动态代码运行时的行为检测,如果上传文件能够在沙箱中被运行,则该上传文件为可执行程序。
步骤110,将检测为可执行程序的目标上传文件确定为威胁文件。
可选的,在将检测为可执行程序的目标上传文件确定为威胁文件之前,还包括:检测所述目标上传文件是否存在外部访问行为;若存在,则获取所述外部访问行为对应的IP地址和域名中至少一项;将所述外部访问行为对应的IP 地址和域名中至少一项与预定威胁情报库中的威胁信息进行匹配,所述威胁情报库用于存储IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系;将匹配到威胁信息的目标上传文件确定为威胁文件。
在步骤108将上传文件提供给威胁检测沙箱进行可执行程序检测后,若检测出上传文件为包含可执行程序的恶意文件,并且取得恶意文件在被执行状态下使用了某些危险的系统调用,如果存在对外部网站的服务器和IP进行访问,则将IP与域名与威胁情报库进行查找比对,判断出访问IP和域名是否在威胁情报系统数据库中,如果存在进一步证明用户上传的文件存在更大的威胁风险。
结合图2的来说,恶意文件上传威胁关联分析系统34包括沙箱分析系统 36和威胁情报系统38。沙箱分析系统36用于对于执行目标上传文件的可执行程序检测,威胁情报系统38则存储有IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系。
恶意文件上传威胁关联分析系统34可通过REST API查询接口去查询文件上传存储系统22中的上传日志信息、文件检测规则管理系统24中的文件检测规则信息的字段内容进行关联分析,发现可疑的恶意文件上传迹象,发现后通过沙箱分析系统36进行进一步检测、并同时与威胁情报系统38中的威胁情报信息进行关联分析。
与文件检测规则管理系统24类似,沙箱分析系统36的数据库中存储有安全运维人员创建的沙箱安全威胁检测信息,沙箱安全威胁检测信息格式如下:
【文件名】【沙箱检测威胁信息描述】【外联IP】【外联域名】
【沙箱检测威胁信息描述】用于描述对应的威胁种类,例如为木马程序、分布式拒绝服务攻击(Distributed Denial of Service,DDoS)机器等等,【外联IP】、【外联域名】则分别对应表示为可执行程序的上传文件对应的外部调用IP和域名。
威胁情报系统38的数据库中存储有安全运维人员创建的威胁情报信息,威胁情报信息格式如下:
【IP】【IP威胁信息】【域名】【域名威胁信息】
恶意文件上传威胁关联分析系统34将可疑的文件放入沙箱分析系统36进行分析,如果存在恶意执行行为,则获取沙箱分析系统36存储的【沙箱检测威胁信息描述】信息,如果上传文件在沙箱检测的过程中,发现上传文件为同时访问了外部网络通信的可执行程序,则获取威胁情报系统38存储的【外联 IP】或【外联域名】信息。
查找威胁情报系统38数据库中的【外联IP】是否有【IP】对应,如果有取回对应的【IP威胁信息】,或者,查找威胁情报系统38数据库中的【外联域名】是否有【域名】对应,如果有取回对应的【域名威胁信息】。
例如,通过沙箱判定被恶意上传的程序文件可能执行的攻击动作,如果上传的是木马程序,根据其是否存在与远程控制服务器进行网络通信的场合,再进一步判断出该木马程序访问的IP和域名信息是否在威胁情报系统数据库中出现过。
从与威胁情报系统数据库IP、域名关联的过程中,发现可疑文件访问的域名是否可能是DDOS攻击、远控木马服务器的IP、域名。如果威胁情报系统数据库中明确了可执行程序访问的IP和域名属于高危威胁情报类型,对其访问的IP与域名在防火墙上进行封禁。
通过IP、域名进行对通信的恶意远程服务进行威胁判定,同时举一反三,把所有内部对可疑远程访问IP、域名封禁,从而避免更多可能会发生在其他资产上网络攻击安全事件。
由此,通过以上的关联分析可以得到一个可疑上传文件所相关威胁特征信息,例如包括如下字段:
【文件】【文件HASH】【文件检测威胁信息描述】【沙箱威胁信息描述】【外联IP】【IP威胁信息】【外联域名】【域名威胁信息】
结合图2来说,上述可疑上传文件所相关威胁特征信息即为恶意文件上传威胁关联分析的结果,将该分析结果保存到数据库40中。此外,可以通过恶意文件上传威胁关联展示步骤,将分析结果通过分析结果展示服务系统42展示给对应的用户。
一个实施例中,在将检测为可执行程序的目标上传文件确定为威胁文件之后,还包括:向安全运维系统发送所述威胁文件关联的威胁特征信息,所述威胁特征信息包括所述威胁文件的文件名、文件唯一标识符、文件内容异常信息描述及可执行程序威胁信息描述。
通过以上的关联数据分析,分析出恶意上传的文件触及到的威胁行为与威胁信息,并及时提供给安全运维人员进行该文件的定位与安全应急响应。
下面,将结合图3的实施例,对本申请实施例的上传文件威胁检测方法示例作出说明。
如图3所示,包括以下步骤:
步骤302:文件上传存储系统进行上传文件日志信息聚合;
步骤304:日志格式化;
步骤306:日志数据库存储。
步骤308:文件安全检测规则管理系统进行文件安全检测规则的日志信息聚合;
步骤310:日志格式化;
步骤312:规则数据库存储。
步骤314:文件恶意上传威胁关联分析系统对安全检测规则检测的可疑上传文件进行文件恶意上传威胁关联分析,文件恶意上传威胁关联分析包括步骤 316和步骤318;
步骤316:沙箱安全检测信息关联,确定恶意可执行程序的种类;
步骤318:威胁情报信息关联,确定恶意可执行程序的外调服务器IP或域名;
步骤320:将文件恶意上传威胁关联分析结果保存到数据库中;
步骤322:将文件恶意上传威胁关联分析结果展示给安全运维人员,使得安全运维人员便于查找对应的威胁并及时进行安全应急响应运营处理。
本申请实施例的上传文件威胁检测方法,首先对原始上传文件的日志 MINE类型与文件扩展名进行一致性检测确定可疑上传完文件,然后对可疑上传文件的内容文本进行安全检测,对于内容异常的上传文件再进行可执行程序检测,通过对上传文件进行多重威胁判断的安全检测,能够更深入、更精确地发现恶意上传文件潜在的安全风险。通过本申请实施例可以在文件上传的早期发现潜在威胁,减少后续攻击事件的发生,帮助安全运维人员发现威胁并进行安全应急响应。
此外,对文件上传日志从简单的文件集中备份变为全文检索数据库形式存储,实现快速的上传日志查询,进行复杂数据检索关联,避免使用文件形式进行威胁检测所导致的低效率。
基于相关数据在全文检索数据库中的存储汇聚信息管理,自动化的管理日志的生存周期,避免人力删除文件进行管理、脚本执行文件保存时长控制的低效与易出错的问题。对聚合的文件上传日志、文件安全检测规则进行保存同时,可提供对外查询的REST API功能,提供了更便捷的关联日志数据查询功能。
可选的,本申请实施例还提供一种上传文件威胁检测装置,图4是本申请实施例的上传文件威胁检测装置的结构示意图。
如图4所示,上传文件威胁检测装置2000包括存储器2200和与所述存储器2200电连接的处理器2400,所述存储器2200存储有可在所述处理器2400 运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任意一种上传文件威胁检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种上传文件威胁检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(RandomAccess Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (10)
1.一种上传文件威胁检测方法,其特征在于,包括:
获取上传文件对应的上传日志数据,所述上传日志数据包括上传文件的多用途互联网邮件扩展MINE类型与文件扩展名;
根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测;
对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测;
检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序;
将检测为可执行程序的目标上传文件确定为威胁文件。
2.如权利要求1所述的方法,其特征在于,获取上传文件对应的上传日志数据,包括:
周期性收集用户上传文件时文件上传存储系统存储的上传日志数据;
将所述上传日志数据进行格式整理,得到上传文件的MINE类型与文件扩展名。
3.如权利要求1所述的方法,其特征在于,根据上传日志数据对上传文件的MINE类型与文件扩展名进行一致性检测,包括:
识别上传文件对应上传日志数据中的文件头字符,得到上传文件的MINE类型;
将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配;
若不匹配,则确定所述上传文件为可疑上传文件。
4.如权利要求1所述的方法,其特征在于,对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测,包括:
从预定规则数据库中获取安全检测规则数据;
将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配,确定所述可疑上传文件中是否包含源代码或二进制代码;
若相匹配,则确定所述可疑上传文件的内容检测异常,为目标上传文件。
5.如权利要求4所述的方法,其特征在于,在对所述上传文件中MINE类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前,还包括:
创建接收安全检测规则数据的应用程序接口API;
通过所述API接收规则管理系统新创建的安全检测规则数据;
将接收的安全检测规则数据保存到所述预定规则数据库中。
6.如权利要求1所述的方法,其特征在于,检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序,包括:
将所述目标上传文件放入威胁检测沙箱进行检测;
若所述目标上传文件在所述威胁检测沙箱中可被执行,则检测出所述目标上传文件为可执行程序。
7.如权利要求6所述的方法,其特征在于,在将检测为可执行程序的目标上传文件确定为威胁文件之前,还包括:
检测所述目标上传文件是否存在外部访问行为;
若存在,则获取所述外部访问行为对应的IP地址和域名中至少一项;
将所述外部访问行为对应的IP地址和域名中至少一项与预定威胁情报库中的威胁信息进行匹配,所述威胁情报库用于存储IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系;
将匹配到威胁信息的目标上传文件确定为威胁文件。
8.如权利要求1所述的方法,其特征在于,在将检测为可执行程序的目标上传文件确定为威胁文件之后,还包括:
向安全运维系统发送所述威胁文件关联的威胁特征信息,所述威胁特征信息包括所述威胁文件的文件名、文件唯一标识符、文件内容异常信息描述及可执行程序威胁信息描述。
9.一种上传文件威胁检测装置,其特征在于,包括:存储器和与所述存储器电连接的处理器,所述存储器存储有可在所述处理器运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110713275.XA CN113595981B (zh) | 2021-06-25 | 2021-06-25 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110713275.XA CN113595981B (zh) | 2021-06-25 | 2021-06-25 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113595981A true CN113595981A (zh) | 2021-11-02 |
| CN113595981B CN113595981B (zh) | 2023-07-28 |
Family
ID=78244609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110713275.XA Active CN113595981B (zh) | 2021-06-25 | 2021-06-25 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113595981B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629688A (zh) * | 2022-02-22 | 2022-06-14 | 中国人民解放军国防科技大学 | 一种基于动态测试的文件上传漏洞挖掘方法和系统 |
| CN115996152A (zh) * | 2023-03-23 | 2023-04-21 | 北京腾达泰源科技有限公司 | 安全防护方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104111846A (zh) * | 2014-06-17 | 2014-10-22 | 贝壳网际(北京)安全技术有限公司 | 页面数据的加载方法和装置 |
| CN106250769A (zh) * | 2016-07-30 | 2016-12-21 | 北京明朝万达科技股份有限公司 | 一种多级过滤的源代码数据检测方法及装置 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN108062474A (zh) * | 2016-11-08 | 2018-05-22 | 阿里巴巴集团控股有限公司 | 文件的检测方法及装置 |
| CN108595672A (zh) * | 2018-04-28 | 2018-09-28 | 努比亚技术有限公司 | 一种识别下载文件类型的方法、装置及可读存储介质 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
| CN111901337A (zh) * | 2020-07-28 | 2020-11-06 | 中国平安财产保险股份有限公司 | 文件上传方法、系统及存储介质 |
-
2021
- 2021-06-25 CN CN202110713275.XA patent/CN113595981B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104111846A (zh) * | 2014-06-17 | 2014-10-22 | 贝壳网际(北京)安全技术有限公司 | 页面数据的加载方法和装置 |
| CN106250769A (zh) * | 2016-07-30 | 2016-12-21 | 北京明朝万达科技股份有限公司 | 一种多级过滤的源代码数据检测方法及装置 |
| CN108062474A (zh) * | 2016-11-08 | 2018-05-22 | 阿里巴巴集团控股有限公司 | 文件的检测方法及装置 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN108595672A (zh) * | 2018-04-28 | 2018-09-28 | 努比亚技术有限公司 | 一种识别下载文件类型的方法、装置及可读存储介质 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
| CN111901337A (zh) * | 2020-07-28 | 2020-11-06 | 中国平安财产保险股份有限公司 | 文件上传方法、系统及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629688A (zh) * | 2022-02-22 | 2022-06-14 | 中国人民解放军国防科技大学 | 一种基于动态测试的文件上传漏洞挖掘方法和系统 |
| CN114629688B (zh) * | 2022-02-22 | 2024-03-15 | 中国人民解放军国防科技大学 | 一种基于动态测试的文件上传漏洞挖掘方法和系统 |
| CN115996152A (zh) * | 2023-03-23 | 2023-04-21 | 北京腾达泰源科技有限公司 | 安全防护方法、装置、设备及存储介质 |
| CN115996152B (zh) * | 2023-03-23 | 2023-06-09 | 北京腾达泰源科技有限公司 | 安全防护方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113595981B (zh) | 2023-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108460278B (zh) | 一种威胁情报处理方法及装置 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN107370763B (zh) | 基于外部威胁情报分析的资产安全预警方法及装置 | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| US20090144826A2 (en) | Systems and Methods for Identifying Malware Distribution | |
| US20070016951A1 (en) | Systems and methods for identifying sources of malware | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN111600856A (zh) | 数据中心运维的安全系统 | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN114021040B (zh) | 基于业务访问的恶意事件的告警及防护方法和系统 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN110881043A (zh) | 一种web服务器漏洞的检测方法及装置 | |
| CN112491784A (zh) | Web网站的请求处理方法及装置、计算机可读存储介质 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| KR20170058140A (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| US20230094119A1 (en) | Scanning of Content in Weblink | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230307 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Applicant after: Sina Technology (China) Co.,Ltd. Address before: 100080 7th floor, Sina headquarters scientific research building, plot n-1 and n-2, Zhongguancun Software Park Phase II (West Expansion), Dongbeiwang West Road, Haidian District, Beijing Applicant before: Sina.com Technology (China) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |