CN116304221A

CN116304221A - 一种文档信息安全检测方法、装置、电子设备及存储介质

Info

Publication number: CN116304221A
Application number: CN202211632127.6A
Authority: CN
Inventors: 王娟; 刘佳男; 于泽研; 张小雷; 高龙浩; 肖新光
Original assignee: Beijing Antiy Network Technology Co Ltd
Current assignee: Beijing Antiy Network Technology Co Ltd
Priority date: 2022-12-19
Filing date: 2022-12-19
Publication date: 2023-06-23

Abstract

本发明提供了一种文档信息安全检测方法、装置、电子设备及存储介质，该方法包括：响应于接收到的待检测文档，获取待检测文档的文档属性信息；对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出。本发明得到的安全检测结果弥补了目前文档办公软件存在的不能检测文档中隐藏敏感信息的弊端，使得用户能更容易地判断文档的出处和合规性，有效的应对在文档属性中隐藏敏感信息的攻击形式，弥补了现有检测手段的不足。

Description

一种文档信息安全检测方法、装置、电子设备及存储介质

技术领域

本发明涉及信息安全检测领域，特别是涉及一种文档信息安全检测方法、装置、电子设备及存储介质。

背景技术

在网络攻击中，大多数网络钓鱼攻击通过恶意文档作为载体来传播恶意软件，恶意文档即存在释放植入恶意代码风险的文档，恶意文档一般处于网络攻击链的传送阶段，目前对恶意文档的检测方法主要集中在对VBA宏代码的提取和分析方法上，但一部分网络攻击者已经采用将敏感信息隐藏在VBA宏代码之外的手段，来逃避现在的文档检测。所以，现有的恶意文档的安全检测方法已经不适用于当前的网络攻击方式。

发明内容

有鉴于此，本发明提供一种文档信息安全检测方法、装置、电子设备及存储介质，至少部分解决现有技术中存在的敏感信息检测不完全的技术问题，本发明采用的技术方案为：

根据本申请的一个方面，提供一种文档信息安全检测方法，包括：

响应于接收到的待检测文档，获取待检测文档的文档属性信息；

对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；

对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；

根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出。

在本申请的一种示例性实施例中，响应于接收到的待检测文档，获取待检测文档的文档属性信息，包括：

对接收到的待检测文档进行格式解析，得到对应的文档属性信息。

在本申请的一种示例性实施例中，对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果，包括：

若待检测文档的文档属性信息不符合对应的合法格式，则将格式不合法确定为对应的格式合法验证结果，并在预设的检测结果列表中存储对应的文档属性信息的格式不合法记录信息；否则，则将格式合法确定为对应的格式合法验证结果。

在本申请的一种示例性实施例中，对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果，包括：

对待检测文档的文档属性信息进行编码识别处理，确定对应的编码算法；

根据编码算法，对待检测文档的对应的文档属性信息进行解码处理，得到对应的属性解码信息；

对属性解码信息进行敏感字符串检验处理，得到对应的属性敏感字符串，并将对应的属性敏感字符串存储在预设的检测结果列表中；

对属性解码信息进行敏感函数名检验处理，得到对应的属性敏感函数名，并将对应的属性敏感函数名存储在预设的检测结果列表中；

根据属性敏感字符串和属性敏感函数名，确定待检测文档的编码校验结果。

在本申请的一种示例性实施例中，根据属性敏感字符串和属性敏感函数名，确定待检测文档的编码校验结果，包括：

若属性敏感字符串存在于预设的威胁字符串列表中，则对属性敏感字符串进行赋值，得到对应的字符串属性值；

若属性敏感函数名存在于预设的威胁函数名列表中，则对属性敏感函数名进行赋值，得到对应的函数名属性值；

将所有字符串属性值和所有函数名属性值相加，得到威胁属性总值；

若威胁属性总值大于预设的威胁属性阈值，则将编码存在异常确定为编码校验结果；否则，将编码无异常确定为编码校验结果。

在本申请的一种示例性实施例中，根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出，包括：

若编码校验结果为编码存在异常，或格式合法验证结果为格式不合法，则将存在风险确定为待检测文档的安全检测结果；否则，将不存在风险确定为待检测文档的安全检测结果；

将安全检测结果和预设的检测结果列表输出。

在本申请的一种示例性实施例中，在根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出的步骤之后，所述文档信息安全检测方法还包括：

若安全检测结果为存在风险，则生成告警信息并输出。

一种文档信息安全检测装置，包括：

文档响应模块，用于响应于接收到的待检测文档，获取待检测文档的文档属性信息；

格式验证模块，用于对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；

编码校验模块，用于对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；

结果输出模块，用于根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出。

根据本申请的一个方面，提供一种非瞬时性计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现所述一种文档信息安全检测方法。

根据本申请的一个方面，提供一种电子设备，包括处理器和所述的非瞬时性计算机可读存储介质。

本发明至少具有以下有益效果：

本发明通过提取待检测文档的文档属性信息，来对待检测文档的每一文档属性信息进行格式合法验证，得到对应的格式合法验证结果，再对每一文档属性信息进行编码校验处理，来检验文档属性信息的内容中是否隐藏有敏感信息，得到对应的编码校验结果，再根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出，弥补了目前文档办公软件存在的不能检测文档中隐藏敏感信息的弊端，使得用户能更容易地判断文档的出处和合规性，有效的应对在文档属性中隐藏敏感信息的攻击形式，弥补了现有检测手段的不足。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的文档信息安全检测方法的流程图；

图2为本发明实施例提供的文档信息安全检测装置的框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前大多数网络钓鱼攻击通过恶意文档作为载体来传播恶意软件，用户在收到恶意文档时，打开恶意文档，会存在木马、勒索软件等被植入的风险，所以，就需要在用户接收到外部发来的文件或文档时，对该文件或文档进行安全检测，判断其是否存在安全风险。

目前对恶意文档的检测方法主要集中在对VBA宏代码的提取和分析方法上，通过提取分析VBA宏代码中的敏感信息，来获取其存在的风险，但通过目前的信息安全样本来看，已经有一部分网络攻击者采用将敏感信息隐藏在VBA宏代码之外的手段，来逃避现在的文档检测，由于敏感信息不在VBA宏代码中，所以，现有的恶意文档的安全检测方法无法检测出网络攻击者隐藏在文档中的敏感信息，而文档属性就是被网络攻击者利用的手段之一，文档属性主要包括文档的修订号、管理者、版本号等，文档办公软件(如office)在生成文档时会根据系统的配置信息和用户的编辑行为按固定格式自动填充这些属性值，但在打开一个文档时却不会对这些属性值的合法性进行严格检查。另外，文档办公软件和资源管理器在显示文档属性时，存在显示区域狭小、较长属性内容显示不全的问题，这也使得普通用户不易看到隐藏在属性中的异常信息，而现有的恶意文档检测手段也未覆盖文档属性合规性的维度。

在正常情况下，用户使用作者、公司、修订号、备注等属性来标记文档的出处和编辑修订等相关情况，但网络攻击者隐藏于文档属性中的敏感信息并无此自然语义，而是其构建恶意文档的一种手段，所以，使用文档的属性域隐藏敏感信息被视为一种异常行为，所以，就需提出一种对文档属性进行分析来检测文档中隐藏信息的方法。

所述的文档信息安全检测方法，如图1所示，包括：

步骤S100、响应于接收到的待检测文档，获取待检测文档的文档属性信息；

待检测文档为用户接收到的外部发送的文档，此文档可以为office文档，由于，本发明要对文档属性进行检测处理，所以，在用户接收到待检测文档时，需要先提取出待检测文档的文档属性信息。

进一步，步骤S100中，响应于接收到的待检测文档，获取待检测文档的文档属性信息，包括：

步骤S110、对接收到的待检测文档进行格式解析，得到对应的文档属性信息。

步骤S200、对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；

对接收到的待检测文档进行格式解析，如对OpenXML、CFB、RTF等office文档格式进行解析，提取出标题、主题、标记、类别、备注、作者、最后一次保存者、修订号、程序名称、版本号、公司、管理者、创建时间、保存时间、总编辑时间、内容状态等文档属性信息，再对提取得到的每个文档属性信息进行格式合法验证，来验证每个文档属性信息的合法性，查验每个文档属性信息的格式是否合法。

进一步，步骤S200中，对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果，包括：

步骤S210、若待检测文档的文档属性信息不符合对应的合法格式，则将格式不合法确定为对应的格式合法验证结果，并在预设的检测结果列表中存储对应的文档属性信息的格式不合法记录信息；否则，则将格式合法确定为对应的格式合法验证结果。

将提取的待检测文档的每个文档属性信息都进行格式合法验证，得到对应的格式合法验证结果，如文档属性信息为修订号，合法的修订号为一个十进制数字，若待检测文档的修订号是一个非数字的字符串，则待检测文档的修订号的格式合法验证结果为格式不合法，并在预设的检测结果列表中插入修订号格式不合法的信息，来表示修订号的格式不合法，存在异常，反之，若待检测文档的修订号是一个十进制的数字，则待检测文档的修订号的格式合法验证结果为格式合法，若格式合法，则无需在检测结果列表中存储记录信息。

检测结果列表为存储在用户服务器中的一个表格，若文档属性信息存在不合法，则在检测结果列表中添加一条对应的记录，便于用户查看，检测结果列表中存储有待检测文档的所有格式不合法的文档属性信息的记录信息。

步骤S300、对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；

步骤S200为对待检测文档的文档属性信息进行格式合法验证，无论文档属性信息的格式是否合法，都进行步骤S300，即对每一文档属性信息进行编码校验，编码校验即对每一文档属性信息的内容进行检测，来验证所有文档属性信息是否存在异常情况。

进一步，步骤S300中，对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果，包括：

步骤S310、对待检测文档的文档属性信息进行编码识别处理，确定对应的编码算法；

步骤S320、根据编码算法，对待检测文档的对应的文档属性信息进行解码处理，得到对应的属性解码信息；

步骤S330、对属性解码信息进行敏感字符串检验处理，得到对应的属性敏感字符串，并将对应的属性敏感字符串存储在预设的检测结果列表中；

步骤S340、对属性解码信息进行敏感函数名检验处理，得到对应的属性敏感函数名，并将对应的属性敏感函数名存储在预设的检测结果列表中；

步骤S350、根据属性敏感字符串和属性敏感函数名，确定待检测文档的编码校验结果。

对待检测文档的文档属性信息进行编码校验处理步骤中，先识别每一文档属性信息的编码值，来查看其是否具有Base64或十六进制化等编码算法的特征，来确定出对应的编码算法，再根据识别出的编码算法对对应的文档属性信息进行解码，得到属性解码信息，每一文档属性信息都对应有一个属性解码信息，再对每一属性解码信息进行powershell脚本、cmd命令、URL、可执行文件名、文件路径等敏感字符串检测，和New-Object、DownloadFile、DownloadString、Start-Process、Run、Shell等敏感函数名检测，分别得到每一属性解码信息的属性敏感字符串和属性敏感函数名，再将所有属性解码信息的属性敏感字符串和属性敏感函数名都存储在检测结果列表中，便于用户的查看和分析。

进一步，步骤S350中，根据属性敏感字符串和属性敏感函数名，确定待检测文档的编码校验结果，包括：

步骤S351、若属性敏感字符串存在于预设的威胁字符串列表中，则对属性敏感字符串进行赋值，得到对应的字符串属性值；

步骤S352、若属性敏感函数名存在于预设的威胁函数名列表中，则对属性敏感函数名进行赋值，得到对应的函数名属性值；

步骤S353、将所有字符串属性值和所有函数名属性值相加，得到威胁属性总值；

步骤S354、若威胁属性总值大于预设的威胁属性阈值，则将编码存在异常确定为编码校验结果；否则，将编码无异常确定为编码校验结果。

用户服务器中存储有威胁字符串列表和威胁函数名列表，威胁字符串列表中记录了存在安全风险的字符串，威胁函数名列表中记录了存在安全风险的函数名，且威胁字符串列表和威胁函数名列表中的字符串和函数名都有对应的风险值，来表示对应的字符串和函数名的风险指数，风险值越大，则说明对应的字符串或函数名存在的安全风险越高，将每一属性解码信息的属性敏感字符串和属性敏感函数名分别与威胁字符串列表和威胁函数名列表做对比，若不存在于威胁字符串列表和威胁函数名列表中，则说明对应的属性解码信息的安全系数较高，若存在于威胁字符串列表和威胁函数名列表中，则说明对应的属性解码信息的安全系数较低，并将威胁字符串列表或威胁函数名列表中的风险值赋予对应的属性敏感字符串或属性敏感函数名，来进行可疑程度评估赋值，对比完所有的属性解码信息后，将所有属性解码信息的属性敏感字符串和属性敏感函数名的风险值进行相加，得到威胁属性总值，威胁属性总值表示待检测文档的风险系数，威胁属性总值越高，则说明待检测文档植入恶意软件的风险越高。

步骤S400、根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出；

进一步，步骤S400中，根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出，包括：

步骤S410、若编码校验结果为编码存在异常，或格式合法验证结果为格式不合法，则将存在风险确定为待检测文档的安全检测结果；否则，将不存在风险确定为待检测文档的安全检测结果；

步骤S420、将安全检测结果和预设的检测结果列表输出。

步骤S500、若安全检测结果为存在风险，则生成告警信息并输出。

在得到安全检测结果后，输出安全检测结果和此时的检测结果列表，若威胁属性总值比预设的威胁属性阈值还大，则说明待检测文档存在的安全风险已经达到报警状态，来提醒用户进行安全操作，检测结果列表中记录了待检测文档的所有格式不合法的文档属性信息和所有属性解码信息的属性敏感字符串和属性敏感函数名，以网页报表等更具可读性的方式向用户或分析人员展现所有文档属性信息，并对检测结果列表中存在异常的文档属性信息进行不同颜色的高亮标识，在醒目位置显示告警信息，便于用户的查看。

本发明通过提取待检测文档的文档属性信息，来对待检测文档的每一文档属性信息进行格式合法验证，得到对应的格式合法验证结果，再对每一文档属性信息进行编码校验处理，来检验文档属性信息的内容中是否隐藏有敏感信息，得到对应的编码校验结果，再根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果，安全检测结果通过以列表等可读形式展现给用户，弥补了目前文档办公软件存在的不能检测文档中隐藏敏感信息的弊端，使得用户能更容易地判断文档的出处和合规性，有效的应对在文档属性中隐藏敏感信息的攻击形式，弥补了现有检测手段的不足。

本发明提供了一种文档信息安全检测的轻量级方法，着眼于文档属性的合法性，来检测异常的文档属性值，有效应对当前恶意文档出现的新形态，弥补了只聚焦于VBA宏代码检测恶意文档的不足，并以网页报表等方式展现繁杂的文档属性，叠加检测到的异常信息，使得用户可更直观地判断文档的真实出处和合规性，避免盲目打开恶意文档，为识别恶意文档提供更多维度上的判定信息，有助于发现未知威胁，且不依赖于文档办公软件和沙箱等环境，可适用于多种应用场景，可作为独立工具，也可作为模块嵌入其它安全检测产品中。

一种文档信息安全检测装置100，如图2所示，包括：

文档响应模块110，用于响应于接收到的待检测文档，获取待检测文档的文档属性信息；

格式验证模块120，用于对待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；

编码校验模块130，用于对待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；

结果输出模块140，用于根据格式合法验证结果和编码校验结果，得到待检测文档的安全检测结果并输出。

其中，文档响应模块110还用于：

其中，格式验证模块120还用于：

其中，编码校验模块130还用于：

根据属性敏感字符串和属性敏感函数名，确定待检测文档的编码校验结果；

其中，结果输出模块140还用于：

将安全检测结果和预设的检测结果列表输出。

本发明的实施例还提供一种计算机程序产品，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。

其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器(RAM)和/或高速缓存储存器，还可以进一步包括只读储存器(ROM)。

储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。

电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种文档信息安全检测方法，其特征在于，包括：

响应于接收到的待检测文档，获取所述待检测文档的文档属性信息；

对所述待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果；

对所述待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果；

根据所述格式合法验证结果和所述编码校验结果，得到所述待检测文档的安全检测结果并输出。

2.根据权利要求1所述的方法，其特征在于，响应于接收到的待检测文档，获取所述待检测文档的文档属性信息，包括：

对接收到的所述待检测文档进行格式解析，得到对应的文档属性信息。

3.根据权利要求1所述的方法，其特征在于，对所述待检测文档的文档属性信息进行格式合法验证，得到对应的格式合法验证结果，包括：

若所述待检测文档的文档属性信息不符合对应的合法格式，则将格式不合法确定为对应的格式合法验证结果，并在预设的检测结果列表中存储对应的文档属性信息的格式不合法记录信息；否则，则将格式合法确定为对应的格式合法验证结果。

4.根据权利要求3所述的方法，其特征在于，对所述待检测文档的文档属性信息进行编码校验处理，得到对应的编码校验结果，包括：

对所述待检测文档的文档属性信息进行编码识别处理，确定对应的编码算法；

根据所述编码算法，对所述待检测文档的对应的文档属性信息进行解码处理，得到对应的属性解码信息；

对所述属性解码信息进行敏感字符串检验处理，得到对应的属性敏感字符串，并将对应的所述属性敏感字符串存储在预设的检测结果列表中；

对所述属性解码信息进行敏感函数名检验处理，得到对应的属性敏感函数名，并将对应的所述属性敏感函数名存储在预设的检测结果列表中；

根据所述属性敏感字符串和所述属性敏感函数名，确定所述待检测文档的编码校验结果。

5.根据权利要求4所述的方法，其特征在于，根据所述属性敏感字符串和所述属性敏感函数名，确定所述待检测文档的编码校验结果，包括：

若所述属性敏感字符串存在于预设的威胁字符串列表中，则对所述属性敏感字符串进行赋值，得到对应的字符串属性值；

若所述属性敏感函数名存在于预设的威胁函数名列表中，则对所述属性敏感函数名进行赋值，得到对应的函数名属性值；

将所有所述字符串属性值和所有所述函数名属性值相加，得到威胁属性总值；

若所述威胁属性总值大于预设的威胁属性阈值，则将编码存在异常确定为编码校验结果；否则，将编码无异常确定为编码校验结果。

6.根据权利要求5所述的方法，其特征在于，根据所述格式合法验证结果和所述编码校验结果，得到所述待检测文档的安全检测结果并输出，包括：

若所述编码校验结果为编码存在异常，或所述格式合法验证结果为格式不合法，则将存在风险确定为所述待检测文档的安全检测结果；否则，将不存在风险确定为所述待检测文档的安全检测结果；

将所述安全检测结果和预设的检测结果列表输出。

7.根据权利要求1所述的方法，其特征在于，在根据所述格式合法验证结果和所述编码校验结果，得到所述待检测文档的安全检测结果并输出的步骤之后，所述方法还包括：

若所述安全检测结果为存在风险，则生成告警信息并输出。

8.一种文档信息安全检测装置，其特征在于，包括：

9.一种非瞬时性计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，其特征在于，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-7中任意一项的所述方法。

10.一种电子设备，其特征在于，包括处理器和权利要求9中所述的非瞬时性计算机可读存储介质。