CN117910043A - 电子文档信息隐藏深度挖掘方法、系统和装置 - Google Patents
电子文档信息隐藏深度挖掘方法、系统和装置 Download PDFInfo
- Publication number
- CN117910043A CN117910043A CN202410077349.9A CN202410077349A CN117910043A CN 117910043 A CN117910043 A CN 117910043A CN 202410077349 A CN202410077349 A CN 202410077349A CN 117910043 A CN117910043 A CN 117910043A
- Authority
- CN
- China
- Prior art keywords
- file
- mining
- target file
- hiding
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005065 mining Methods 0.000 title claims abstract description 143
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000001514 detection method Methods 0.000 claims abstract description 77
- 238000004458 analytical method Methods 0.000 claims abstract description 58
- 230000008569 process Effects 0.000 claims description 20
- 238000007689 inspection Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006835 compression Effects 0.000 claims description 9
- 238000007906 compression Methods 0.000 claims description 9
- 238000012015 optical character recognition Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 238000013075 data extraction Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000009412 basement excavation Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/113—Details of archiving
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Library & Information Science (AREA)
- Human Computer Interaction (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种电子文档信息隐藏深度挖掘方法、系统和装置,首先对电子文档二进制格式进行深入分析,解析各种类型文件的格式;然后在格式解析基础上提取二进制结构特征,并详细分析各种数据隐藏方式,构建了电子文档隐藏信息结构特征知识库;最后通过调用知识库,设计电子文档隐藏信息深度挖掘引擎,在展示模板基础上做挖掘结果展示。实现自动批量检查具有敏感信息的电子文档,并对其设置保护措施,可以很好封堵电子文档的泄密漏洞。且通过构建知识库的技术方案,可以对任何电子文档类型的快速扩展进知识库,可以扩展支持的文件类型和未来的数据隐藏方式,实现对扩展格式的电子文档的检测,使得系统具有良好的扩展性。
Description
技术领域
本申请属于网络安全技术领域,具体而言,涉及一种电子文档信息隐藏深度挖掘方法、系统和装置。
背景技术
企业业务全面信息化后,每台终端都存储着大量的文档,各种重要的、普通的文档掺杂在一起,让管理员很难确定哪些文档包含有敏感信息,无法将管控措施覆盖到所有含有敏感信息的文档。另一方面,终端的操作应用越来越丰富,许多网络渠道为文档外传提供便捷,含有敏感信息的文档被上传、外发、修改也很难察觉。各种类型的电子文档二进制格式千差万别,在其中隐藏信息极其容易,电子文档数据隐藏传递敏感信息已成为内部数据泄密的主要手段之一。
数据防泄露保护利用技术手段,防止数据资产以违反安全策略的形式从企业内部泄露出去,当前的数据防泄露保护方法主要包括企业内部的数据加密、身份验证、数据流通控制、存储硬件管理、外发控制等。立足于信息安全的迫切需求,研制电子文档信息隐藏挖掘方法和系统具有重要的意义。
相关技术中,所提出的信息安全解决方案中,还停留在采用防火墙、入侵检测、网络防病毒等方式,方式比较笼统、粗犷,缺乏对信息内容的判定与检测,无法细化管控方式和手段。
发明内容
因此,本申请实施例在于提供一种电子文档信息隐藏深度挖掘方法、系统和装置,旨在解决上述现有技术存在的至少一个问题。
为实现上述目的,第一方面,本申请提供了一种电子文档信息隐藏深度挖掘方法,包括:
响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
挖掘引擎在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
基于预设的结果展示模板将所述隐藏信息检测结果生成检测结果展示文件并保存到指定路径。
可选的,所述二进制结构综合特征包括:二进制格式的文件头、文件数据块描述和文件尾部特征,所述二进制格式的文件头包括文件类型特征描述、文件长度校验信息、文件内容描述、数据块起始地址,所述文件尾部特征包括文件结束标识符和文件尾部特征描述信息。
可选的,所述数据隐藏方式包括:文件类型篡改、压缩包多重压缩、加密隐藏、Office冗余数据隐藏、Office文档嵌入隐藏、数据流隐藏、合并文件隐藏、元数据隐藏、图像内容隐藏,对应的,所述数据隐藏方式分析方法包括:文件类型检验、压缩包扫描、文件加密扫描、Office文档结构检查、Office隐藏数据提取检测、数据流检测、合并文件扫描、文件内关键词快速扫描、图像内容快速搜索;在对所述目标文件进行扫描时,通过所述目标文件的文件类型确定对应的数据隐藏方式,通过所述数据隐藏方式确定对应的数据隐藏方式分析方法,进而根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描和解析,以得到所述目标文件对应的隐藏信息,将所述数据隐藏方式及隐藏信息确定为所述隐藏信息检测结果。
可选的,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对应的预设知识库匹配推理算法基于所述挖掘流程对所述目标文件的二进制结构进行分析,提取所述隐藏信息。
可选的,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对所述目标文件的二进制格式执行以下挖掘流程中的一个或多个扫描:
文件类型检验,识别所述目标文件的内容是否符合其后缀名所声明的格式,若不符合,则报告为可疑文件;
文件加密扫描,检查是否被加密,若加密,则报告为可疑文件;
数据流检测,检查所述目标文件是否存在额外的NTFS数据流,若存在,则报告为可疑文件;
合并文件扫描,检查所述目标文件的尾部是否存在尾部拼接数据,若存在,则报告为可疑文件;
Office文档结构检查,检查Office文档的文件结构中是否存在冗余数据,若存在,则报告为可疑文件;
Office隐藏数据提取检测,检查Office文档内是否存在OLE对象嵌入,若存在,则提取嵌入的所有OLE对象并报告为可疑文件;
文件内关键词快速扫描,扫描所述目标文件中的每个字节是否在预设关键词表中,若是,则报告为可疑文件;
图像内容快速搜索,对图像内容进行光学字符识别,将图像内容转换为文本内容后执行文件内关键词快速扫描的步骤,若文本内容中的字节在预设关键词表中,则报告为可疑文件;
压缩包扫描,将压缩包层层解压后,返回文件类型检验步骤重新执行,确定压缩包是否为可疑文件;
将对所述目标文件所执行的所有数据隐藏方式分析方法的结果确定为所述隐藏信息。
可选的,还包括:所述预设的结果展示模板为html文件模板或xml文件模板,将所述隐藏信息和隐藏方式对应关联后根据预设的结果展示模板生成所述检测结果展示文件。
可选的,在预设的知识库中匹配到所述二进制结构综合特征对应的文件类型之后,在对所述目标文件进行扫描之前,还包括:判断所述文件类型是否在预设的白名单列表中,若是,则对所述目标文件进行扫描,若否,则直接生成所述隐藏信息检测结果。
可选的,还包括:响应于用户对所述检测任务的任务状态请求,查询所述任务数据库内的所述任务条目的任务状态,如果任务状态为已完成,则从所述指定路径中读取所述检测结果展示文件并返回给用户浏览器。
第二方面,本申请还提供了一种电子文档信息隐藏深度挖掘系统,包括:
请求识别模块,用于响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
解析模块,用于预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
挖掘引擎模块,用于在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
结果生成模块,用于将所述隐藏信息检测结果输入预设的结果展示模板生成检测结果展示文件并保存到指定路径。
第三方面,本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述电子文档信息隐藏深度挖掘方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述电子文档信息隐藏深度挖掘方法的步骤。
本申请实施例提供的一种电子文档信息隐藏深度挖掘方法、系统和装置,首先对电子文档二进制格式进行深入分析,解析各种类型文件的格式;然后在格式解析基础上提取二进制结构特征,并详细分析各种数据隐藏方式,构建了电子文档隐藏信息结构特征知识库;最后通过调用知识库,设计电子文档隐藏信息深度挖掘引擎,在展示模板基础上做挖掘结果展示。实现自动批量检查具有敏感信息的电子文档,并对其设置保护措施,可以很好封堵电子文档的泄密漏洞。且通过构建知识库的技术方案,可以对任何电子文档类型的快速扩展进知识库,可以扩展支持的文件类型和未来的数据隐藏方式,实现对扩展格式的电子文档的检测,是的系统具有良好的扩展性。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的电子文档信息隐藏深度挖掘方法的知识表示的框架图;
图2为本申请实施例提供的电子文档信息隐藏深度挖掘方法的知识库的构建图;
图3为本申请实施例提供的电子文档信息隐藏深度挖掘方法的隐藏信息挖掘过程流程图;
图4为本申请实施例提供的电子文档信息隐藏深度挖掘方法的隐藏信息搜索过程流程图;
图5为本申请实施例提供的电子文档信息隐藏深度挖掘方法的系统架构图;
图6为本申请实施例提供的电子文档信息隐藏深度挖掘方法的处理流程图;
图7为本申请实施例提供的电子文档信息隐藏深度挖掘系统的主要模块示意图;
图8为本申请实施例提供的可以应用于其中的示例性系统架构图;
图9为适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
并且,上述部分术语除了可以用于表示方位或位置关系以外,还可能用于表示其他含义,例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言,可以根据具体情况理解这些术语在本申请中的具体含义。
另外,术语“多个”的含义应为两个以及两个以上。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了便于说明,仅示出与本申请实施例相关的部分,详述如下:
一种电子文档信息隐藏深度挖掘方法,包括以下步骤:
步骤1:响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
步骤2:预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
步骤3:挖掘引擎在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
步骤4:基于预设的结果展示模板将所述隐藏信息检测结果生成检测结果展示文件并保存到指定路径。
在步骤1中,用户可以在本方法应用系统的检测端上传待检测的目标文件,上传完目标文件后点击提交任务,基于对用户提交任务的响应,将用户上传的目标文件保存到预设的文件系统中并在任务数据库内创建任务条目,然后将任务条目写入任务属性后加入到任务队列,以使得任务被轮询处理。在这里,可以预设一个用于存储用户上传待检测的目标文件的文件系统和用户缓存任务的任务数据库。任务属性是任务条目的各项信息,用于识别和处理任务,例如包括目标文件的保存路径以便于在处理任务时获取到目标文件对目标文件进行扫描处理。
在步骤2中,预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型。在本实施例中,预设有挖掘引擎,挖掘引擎用于对检测中的各种任务进行分析、处理和计算并得到结果,需要说明的是,挖掘引擎可以是一个系统的模块,也可以是多个组件或模块组成的。
在这里,预设的挖掘引擎根据设置的轮询时间不断地轮询任务队列中的待处理的任务条目,对轮询到的任务条目进行处理。挖掘引擎在轮询到任务条目后,根据任务条目中的保存路径查找到对应的目标文件,然后对目标文件进行解析得到目标文件的详细二进制结构,同时在解析得到的详细二进制结构中提取目标文件的二进制结构综合特征,二进制结构综合特征用于识别所述目标文件的文件类型。需要说明的是,不同类型的电子文档具有不同的二进制结构综合特征,通过二进制文件综合特征可以识别出对应电子文档的文件类型。
在一个实施例中,所述二进制结构综合特征包括:二进制格式的文件头、文件数据块描述和文件尾部特征,所述二进制格式的文件头包括文件类型特征描述、文件长度校验信息、文件内容描述、数据块起始地址,所述文件尾部特征包括文件结束标识符和文件尾部特征描述信息。由此,可以通过二进制结构综合特征准确分析出目标文件的文件类型,以便于后续基于知识库进行隐藏信息挖掘。
在步骤3中,挖掘引擎在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法。
在这里,通过预设知识库的方式,实现对挖掘引擎的指导使得挖掘引擎可以基于知识库中不同类型的电子文档的文件类型、对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示以及配置的隐藏信息挖掘策略对目标文件进行隐藏信息挖掘扫描。
在一个实施例中,在预设的知识库中匹配到所述二进制结构综合特征对应的文件类型之后,在对所述目标文件进行扫描之前,还包括:判断所述文件类型是否在预设的白名单列表中,若是,则对所述目标文件进行扫描,若否,则直接生成所述隐藏信息检测结果。
需要说明的是,知识库在构建时,可以采集已知常用的多种类型的电子文档以及对不同类型电子文档进行分析得到已知常见的多种信息隐藏方式,进而设计对应的数据隐藏方式分析方法,建立文件类型、对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示后构建知识库。
例如,在本实施例中,以Office、图像、压缩文件、pdf等文件类型为主分析常见的电子文档详细格式,进行针对文件结构的安全性分析。通过对各种常用的文档文件的二进制结构进行分析,针对一些可能的数据(信息)隐藏方式,设计相应的数据隐藏方式分析方法。如,常见可能的隐藏方式有文件类型篡改、压缩包多重压缩、加密隐藏、Office冗余数据隐藏、Office文档嵌入隐藏、数据流隐藏、合并文件隐藏、元数据隐藏、图像内容隐藏;对应的,数据隐藏方式分析方法可以设计为:文件类型检验、压缩包扫描、文件加密扫描、Office文档结构检查、Office隐藏数据提取检测、数据流检测、合并文件扫描、文件内关键词快速扫描、图像内容快速搜索。
其中:
(1)文件类型检验:可以检查文件的本来类型,检查文件内容的真实类型是否与后缀名一致,如果文件后缀名经过了人为更改,则文件可能具有隐藏信息,进而可以识别文件类型篡改的数据隐藏方式;
(2)压缩包扫描:对于ZIP和RAR压缩包,可以解压所有文件并执行扫描,如果解压中的文件仍含有压缩包,则继续层层解压,直至所有压缩包内所有子文件都被扫描完毕,以保证没有文件被遗漏,解压后对解压后的文件进行其他数据隐藏方式分析方法的识别,进而对压缩包多重压缩的数据隐藏方式进行识别;
(3)文件加密扫描:Office文档、RAR和ZIP压缩包,以及PDF文档均支持文档加密码特性,这可能是一种刻意隐藏内容的行为,文件加密扫描方式可批量识别文档是否被加密码,进而识别加密隐藏的隐藏方式;
(4)Office文档结构检查:检查Office的docx、xlsx、pptx等类型文件中的内容,找出夹带冗余文件的Office文档,并提取出其中的冗余文件,进而实现对Office冗余数据隐藏方式的检测;
(5)Office隐藏数据提取检测:在Office文档内可以把各种类型文件以OLE对象嵌入,当OLE对象变为极小或隐藏在图像背后的方式存在于文档中,正常的流程审查是不能发现隐藏的OLE对象。本方式分析各种版本的Office文档类型二进制结构,从而提取嵌入的所有OLE对象,并还原其内容,进而实现对Office文档嵌入隐藏方式的检测;
(6)数据流检测:NTFS数据流是NTFS磁盘格式的一种特性,但经常被用于隐藏数据,且是一种十分隐蔽的隐藏数据的方法,携带NTFS数据流的文件读写、拷贝甚至查看文件属性都不会有任何异常,本方式识别并提取NTFS数据流到单独的文件,进而实现对数据流隐藏方式的检测;
(7)合并文件扫描:利用Windows命令行命令copy file1+file2+…file3可将多个文件连接为一个,连接后的文件打开时只会打开第一个,后面的都会被忽略。本方式识别此类由多个文件合并而成的文件,并将文件尾部的多余数据切分出来,进而实现对合并文件隐藏方式的检测;
(8)文件内关键词快速扫描:找出文件内是否含有敏感的关键词。本方式在Office、PDF、RAR、ZIP等文件的文本内容中搜索关键词,支持关键词的分级管理,提供多个风险级别的关键词,根据搜索结果给出文件的危险等级报告,进而实现对关键词的元数据隐藏方式的检测;
(9)图像内容快速搜索:图像中也可能携带部分文字内容,本方式快速高准确度识别图像中的中英文字,并进行关键词的快速检索,进而实现对图像内容隐藏方式的检测。
需要说的是,上述设计的各种数据隐藏方式分析方法,在具体实现时可以利用现有的各种已知算法实现,例如OCR识别算法、数据解析算法等,也可以是基于知识库的各种推理算法,这里不再赘述。
通过上述设计的数据隐藏方式分析方法对已经采集的多个样本的电子文档进行电子文档的二进制格式解析,由于文件类型繁多,而且各种类型的文件二进制格式千差万别,需要对文件逐一进行二进制格式分析,提取最能表现本类型文件的综合特征,因此,在解析结果的基础上,提取二进制结构综合特征。在这里电子文档二进制结构综合特征包括:二进制格式的文件头(文件头的信息包括文件类型特征描述、文件长度校验信息、文件内容描述、数据块起始地址)、文件数据块描述、文件尾部特征(文件尾部特征包括文件结束标识符和文件尾部特征描述信息)。
进一步,把提取的二进制结构综合特征和文件类型、数据隐藏方式及对应的数据隐藏方式分析方法结合,建立采集样本的数据隐藏的知识表示,如图1所示。进而,如图2所示,构建完成本实施例的知识库,以便于后续直接基于知识库对知识库中已知的文件类型的电子文档进行识别扫描。
本实施例中,基于知识库构建挖掘引擎,通过挖掘引擎对各种检测任务进行处理,挖掘引擎可以基于上述知识库进行开发,挖掘引擎可以设计成一个电子文档隐藏信息挖掘专家系统,包括知识库、任务引擎、配置模块和结果展示模板模块。
在一个实施例中,所述数据隐藏方式包括:文件类型篡改、压缩包多重压缩、加密隐藏、Office冗余数据隐藏、Office文档嵌入隐藏、数据流隐藏、合并文件隐藏、元数据隐藏、图像内容隐藏,对应的,所述数据隐藏方式分析方法包括:文件类型检验、压缩包扫描、文件加密扫描、Office文档结构检查、Office隐藏数据提取检测、数据流检测、合并文件扫描、文件内关键词快速扫描、图像内容快速搜索;在对所述目标文件进行扫描时,通过所述目标文件的文件类型确定对应的数据隐藏方式,通过所述数据隐藏方式确定对应的数据隐藏方式分析方法,进而根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,将所述数据隐藏方式及隐藏信息确定为所述隐藏信息检测结果。
在一个实施例中,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对应的预设知识库匹配推理算法基于所述挖掘流程对所述目标文件的二进制结构进行分析,提取所述隐藏信息。
在另一个实施例中,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对所述目标文件的二进制格式执行以下挖掘流程中的一个或多个扫描:
文件类型检验,识别所述目标文件的内容是否符合其后缀名所声明的格式,若不符合,则报告为可疑文件;
文件加密扫描,检查是否被加密,若加密,则报告为可疑文件;
数据流检测,检查所述目标文件是否存在额外的NTFS数据流,若存在,则报告为可疑文件;
合并文件扫描,检查所述目标文件的尾部是否存在尾部拼接数据,若存在,则报告为可疑文件;
Office文档结构检查,检查Office文档的文件结构中是否存在冗余数据,若存在,则报告为可疑文件;
Office隐藏数据提取检测,检查Office文档内是否存在OLE对象嵌入,若存在,则提取嵌入的所有OLE对象并报告为可疑文件;
文件内关键词快速扫描,扫描所述目标文件中的每个字节是否在预设关键词表中,若是,则报告为可疑文件;
图像内容快速搜索,对图像内容进行光学字符识别,将图像内容转换为文本内容后执行文件内关键词快速扫描的步骤,若文本内容中的字节在预设关键词表中,则报告为可疑文件;
压缩包扫描,将压缩包层层解压后,返回文件类型检验步骤重新执行,确定压缩包是否为可疑文件;
将对所述目标文件所执行的所有数据隐藏方式分析方法的结果确定为所述隐藏信息。
需要说明的是,本实施例中,挖掘流程中的每个扫描步骤均可以基于现有技术中各种知识库推理算法或者数据处理算法实现,这里不再赘述。
在步骤4中,基于预设的结果展示模板将所述隐藏信息检测结果生成检测结果展示文件并保存到指定路径。进而,用户可以直接对检测结果进行调用查看,实现对电子文档的安全管理。
在一个实施例中,所述预设的结果展示模板为html文件模板或xml文件模板,将所述隐藏信息和隐藏方式对应关联后根据预设的结果展示模板生成所述检测结果展示文件。
在一个实施例中,还包括:响应于用户对所述检测任务的任务状态请求,查询所述任务数据库内的所述任务条目的任务状态,如果任务状态为已完成,则从所述指定路径中读取所述检测结果展示文件并返回给用户浏览器。
在这里,为表达本方法的兼容性,采用两种结果表达方式:隐藏信息深度挖掘结果html展示和隐藏信息深度挖掘结果xml展示,设计了html和xml结果展示模板。扫描结果的html格式报告中的要素包括:检查时间、检查文件夹/文件的数量、可疑文件的数量、每个文件的路径、文件名、检查结果是否可疑。若文件可疑、则显示危险等级和可疑类型;扫描结果的xml格式报告中关键字的含义如下表所示。
关键字 | 含义 |
scan_report | 检查报告 |
information | 汇总信息 |
scan_type | 检查是否完成 |
generate_time | 检查报告完成时间 |
file_count | 文件数量 |
folder_count | 文件夹数量 |
suspicious_count | 可疑文件数量 |
results | 具体文件报告 |
file type | 文件类型 |
filepath | 文件路径/文件名 |
scan_result | 扫描结果 |
result_description | 结果描述 |
attachments | 附件 |
在本实施例中,如图5所示,本方法应用时,系统可以设计为浏览器/服务器(B/S)模式。Web服务器程序部署在服务器端,用于向网络提供Web服务,在Web服务中负责与用户浏览器交互,接受并处理用户提交的扫描任务。此外,为了实现多用户同时访问和提交任务的特性,系统支持任务队列功能。具体步骤如下:
(1)用户从客户端浏览器上传需要进行安全检测的目标文件,并提交任务;
(2)Web服务器收到任务请求和附带的待检测文件后将待检测文件保存到文件系统,在任务数据库内创建任务条目,写入新任务的各项信息(包括待扫描文件保存路径),而后等待任务完成;
(3)挖掘引擎定时轮询数据库,如果发现新的任务,则读取任务属性,得到待检测文件路径,按路径对文件进行扫描。系统支持自动扫描方式与手动扫描方式,自动方式根据配置文件自动扫描指定的文件,手动方式根据用户的操作手动扫描指定的文件。扫描结束后将检查html或xml结果报告。文件保存回文件系统,同时在任务数据库内将当前任务条目的状态更新为已完成;
(4)待用户下次请求任务状态时,Web服务器程序查询数据库内的任务条目,如果任务状态已完成,则按照指定路径从文件系统读取扫描结果,并返回给用户浏览器,用户将在浏览器内看到任务的隐藏信息挖掘报告。
在一个实施例中,挖掘引擎可以主要包括两部分。
第一部分为隐藏信息挖掘,如图3所示,设置了的挖掘流程,在检测目标文件时,挖掘引擎可以根据挖掘流程进行处理,挖掘流程中对应有数据隐藏方式分析方法。具体的,待电子文档挖掘对象(即目标文件)到达时,首先分析二进制结构,提取结构特征;然后针对提取的特征在知识库中寻找匹配的文件类型,由知识库的具体框架设计隐藏信息挖掘策略;再后,根据挖掘策略定位挖掘对象可能隐藏信息的二进制逻辑位置,判定是否有隐藏信息,如果有则将其提取;最后,将挖掘隐藏信息根据设计好的模板生成挖掘报告。
第二部分为隐藏信息的关键词挖掘,在电子文档隐藏信息挖掘过程中,同时对其关键字信息进行快速搜索。一般来说,电子文档存储文本信息有三种格式:Unicode、Utf8和ANSI码,如docx的二进制存储格式为Utf8码的压缩。在搜索过程中需要转码。首先分析待搜索电子文档的二进制存储格式,匹配关键字的编码类型,如果是图像格式,需要先进行OCR图像内容识别与转换,提取其文本内容;然后根据定制内容搜索策略和报告模板;最后依据搜索策略和编码,对待搜索对象进行快速搜索,根据搜索结果生成报告。具体实现过程如图4所示。
在一个可选的实施例中,如图6所示。一个目标文件的任务条目的扫描执行过程为:
(1)首先得到待检测的目标文件;
(2)分别对目标文件进行文件类型过滤,仅有符合白名单列举的文件类型才可以通过;文件类型验证,识别指定文件的内容是否符合其后缀名所声明的格式,不可识别的文件类型报告为可疑;文件加密检查,对支持加密的文件类型进行扫描,检查其是否被加密,将被加密的文件报告为可疑;NTFS数据流检查,检查文件是否存在额外的NTFS数据流,将存在额外的NTFS数据流的文件报告为可疑;尾部数据检查,防范将敏感数据写入到正常文件尾部,将夹带尾部数据的文件报告为可疑;如果文件未被报告为可疑文件,则进入下一步检测;
(3)对Office文档依次进行(1Office文档结构检查,检查Office文档的文件结构,对图数据隐藏方法进行检查,报告含有隐藏数据的文件;文本关键词扫描,以二进制方式扫描文件的每一个字节来对照搜索关键词,关键词表由用户定义。如果文件中包含隐藏数据或者匹配到了用户自定义的关键词,则报告此文件为可疑文件;如果检测结果为正常,则进入下一步检测;
(4)对于图像文件,进行图像光学字符识别,读取各种格式的图像并识别其中多种语言文字,进而将文字转化成文本并进行文本关键词扫描;
(5)对压缩包文件,解压其中的文件,重新回到文件类型过滤步骤,扫描压缩包内的所有文件;
(6)当文件扫描结束,报告生成器收集了所有的检测结果,它将结果按照html和xml结果展示模板整理为挖掘结果展示文件,并保存到指定的路径下。至此,任务执行结束。
由此,本申请实施例提供的一种电子文档信息隐藏深度挖掘方法,首先对电子文档二进制格式进行深入分析,解析各种类型文件的格式;然后在格式解析基础上提取二进制结构特征,并详细分析各种数据隐藏方式,构建了电子文档隐藏信息结构特征知识库;最后通过调用知识库,设计电子文档隐藏信息深度挖掘引擎,在展示模板基础上做挖掘结果展示。实现自动批量检查具有敏感信息的电子文档,并对其设置保护措施,可以很好封堵电子文档的泄密漏洞。且通过构建知识库的技术方案,可以对任何电子文档类型的快速扩展进知识库,可以扩展支持的文件类型和未来的数据隐藏方式,实现对扩展格式的电子文档的检测,是的系统具有良好的扩展性。
图7示出了本申请实施例提供的电子文档信息隐藏深度挖掘系统的主要模块示意图,为了便于说明,仅示出与本申请实施例相关的部分,详述如下:
一种电子文档信息隐藏深度挖掘系统200,包括:
请求识别模块201,用于响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
解析模块202,用于预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
挖掘引擎模块203,用于在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
结果生成模块204,用于将所述隐藏信息检测结果输入预设的结果展示模板生成检测结果展示文件并保存到指定路径。
需要说明的是,本申请实施例提供的电子文档信息隐藏深度挖掘系统的其他实施例和有益效果均对应于实施例提供的电子文档信息隐藏深度挖掘方法,这里不再赘述。
由此,本申请实施例提供的电子文档信息隐藏深度挖掘系统,首先对电子文档二进制格式进行深入分析,解析各种类型文件的格式;然后在格式解析基础上提取二进制结构特征,并详细分析各种数据隐藏方式,构建了电子文档隐藏信息结构特征知识库;最后通过调用知识库,设计电子文档隐藏信息深度挖掘引擎,在展示模板基础上做挖掘结果展示。实现自动批量检查具有敏感信息的电子文档,并对其设置保护措施,可以很好封堵电子文档的泄密漏洞。且通过构建知识库的技术方案,可以对任何电子文档类型的快速扩展进知识库,可以扩展支持的文件类型和未来的数据隐藏方式,实现对扩展格式的电子文档的检测,是的系统具有良好的扩展性。
需要说明的是,本申请实施例提供的电子文档信息隐藏深度挖掘系统的其他实施例对应于本申请实施例提供的电子文档信息隐藏深度挖掘方法的实施例,这里不再赘述。
本申请实施例还提供一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述电子文档信息隐藏深度挖掘方法的步骤。
本申请实施例还提供一种计算机可读介质,其上存储有计算机程序,程序被处理器执行时实现本申请实施例的电子文档信息隐藏深度挖掘方法。
图8示出了可以应用本申请实施例的电子文档信息隐藏深度挖掘方法或系统的示例性系统架构300。
如图8所示,系统架构300可以包括终端设备301、302、303,网络304和服务器305。网络304用以在终端设备301、302、303和服务器305之间提供通信链路的介质。网络304可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备301、302、303通过网络304与服务器305交互,以接收或发送消息等。终端设备301、302、303上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备301、302、303可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器305可以是提供各种服务的服务器,例如对用户利用终端设备301、302、303所发送的往来消息提供支持的后台管理服务器。后台管理服务器可以在接收到终端设备请求后进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本申请实施例所提供的电子文档信息隐藏深度挖掘方法一般由终端设备301、302、303或服务器305执行,相应地,电子文档信息隐藏深度挖掘系统一般设置于终端设备301、302、303或服务器305中。
应该理解,图8中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图9,其示出了适于用来实现本申请实施例的电子设备的计算机系统400的结构示意图。图9示出的计算机系统仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图9所示,计算机系统400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有系统400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
特别地,根据本申请公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括确定模块、提取模块、训练模块和筛选模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,确定模块还可以被描述为“确定候选用户集的模块”。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种电子文档信息隐藏深度挖掘方法,其特征在于,包括:
响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
挖掘引擎在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
基于预设的结果展示模板将所述隐藏信息检测结果生成检测结果展示文件并保存到指定路径。
2.根据权利要求1所述的电子文档信息隐藏深度挖掘方法,其特征在于,所述二进制结构综合特征包括:二进制格式的文件头、文件数据块描述和文件尾部特征,所述二进制格式的文件头包括文件类型特征描述、文件长度校验信息、文件内容描述、数据块起始地址,所述文件尾部特征包括文件结束标识符和文件尾部特征描述信息。
3.根据权利要求2所述的电子文档信息隐藏深度挖掘方法,其特征在于,所述数据隐藏方式包括:文件类型篡改、压缩包多重压缩、加密隐藏、Office冗余数据隐藏、Office文档嵌入隐藏、数据流隐藏、合并文件隐藏、元数据隐藏、图像内容隐藏,对应的,所述数据隐藏方式分析方法包括:文件类型检验、压缩包扫描、文件加密扫描、Office文档结构检查、Office隐藏数据提取检测、数据流检测、合并文件扫描、文件内关键词快速扫描、图像内容快速搜索;在对所述目标文件进行扫描时,通过所述目标文件的文件类型确定对应的数据隐藏方式,通过所述数据隐藏方式确定对应的数据隐藏方式分析方法,进而根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,将所述数据隐藏方式及隐藏信息确定为所述隐藏信息检测结果。
4.根据权利要求3所述的电子文档信息隐藏深度挖掘方法,其特征在于,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对应的预设知识库匹配推理算法基于所述挖掘流程对所述目标文件的二进制结构进行分析,提取所述隐藏信息。
5.根据权利要求4所述的电子文档信息隐藏深度挖掘方法,其特征在于,所述根据确定的数据隐藏方式分析方法基于所述挖掘流程对所述目标文件进行扫描,以得到所述目标文件对应的隐藏信息,包括:根据所述数据隐藏方式分析方法对所述目标文件的二进制格式执行以下挖掘流程中的一个或多个扫描:
文件类型检验,识别所述目标文件的内容是否符合其后缀名所声明的格式,若不符合,则报告为可疑文件;
文件加密扫描,检查是否被加密,若加密,则报告为可疑文件;
数据流检测,检查所述目标文件是否存在额外的NTFS数据流,若存在,则报告为可疑文件;
合并文件扫描,检查所述目标文件的尾部是否存在尾部拼接数据,若存在,则报告为可疑文件;
Office文档结构检查,检查Office文档的文件结构中是否存在冗余数据,若存在,则报告为可疑文件;
Office隐藏数据提取检测,检查Office文档内是否存在OLE对象嵌入,若存在,则提取嵌入的所有OLE对象并报告为可疑文件;
文件内关键词快速扫描,扫描所述目标文件中的每个字节是否在预设关键词表中,若是,则报告为可疑文件;
图像内容快速搜索,对图像内容进行光学字符识别,将图像内容转换为文本内容后执行文件内关键词快速扫描的步骤,若文本内容中的字节在预设关键词表中,则报告为可疑文件;
压缩包扫描,将压缩包层层解压后,返回文件类型检验步骤重新执行,确定压缩包是否为可疑文件;
将对所述目标文件所执行的所有数据隐藏方式分析方法的结果确定为所述隐藏信息。
6.根据权利要求5所述的电子文档信息隐藏深度挖掘方法,其特征在于,还包括:所述预设的结果展示模板为html文件模板或xml文件模板,将所述隐藏信息和隐藏方式对应关联后根据预设的结果展示模板生成所述检测结果展示文件。
7.根据权利要求1所述的电子文档信息隐藏深度挖掘方法,其特征在于,在预设的知识库中匹配到所述二进制结构综合特征对应的文件类型之后,在对所述目标文件进行扫描之前,还包括:判断所述文件类型是否在预设的白名单列表中,若是,则对所述目标文件进行扫描,若否,则直接生成所述隐藏信息检测结果。
8.根据权利要求1所述的电子文档信息隐藏深度挖掘方法,其特征在于,还包括:响应于用户对所述检测任务的任务状态请求,查询所述任务数据库内的所述任务条目的任务状态,如果任务状态为已完成,则从所述指定路径中读取所述检测结果展示文件并返回给用户浏览器。
9.一种电子文档信息隐藏深度挖掘系统,其特征在于,包括:
请求识别模块,用于响应于用户上传待检测的目标文件并提交检测任务,将所述目标文件保存到预设的文件系统并在任务数据库内创建任务条目,对所述任务条目写入任务属性后加入任务队列,所述任务属性包括所述目标文件在文件系统中的保存路径;
解析模块,用于预设的挖掘引擎在所述任务队列中轮询到所述任务条目后,根据所述目标文件的保存路径查找所述目标文件,解析所述目标文件的二进制结构并提取所述目标文件的二进制结构综合特征,所述二进制结构综合特征用于识别所述目标文件的文件类型;
挖掘引擎模块,用于在预设的知识库中匹配所述二进制结构综合特征对应的文件类型,并根据所述文件类型对应的隐藏信息挖掘规则对所述目标文件进行扫描,以得到所述目标文件的隐藏信息检测结果,其中,所述知识库中构建有多种类型的电子文档对应的文件类型及其对应的二进制结构综合特征、数据隐藏方式、数据隐藏方式分析方法之间的知识表示,并配置有所述隐藏信息挖掘规则,所述隐藏信息挖掘规则用于表征当确定所述目标文件的文件类型后确定隐藏信息的挖掘流程,所述挖掘流程中包括所述数据隐藏方式分析方法;
结果生成模块,用于将所述隐藏信息检测结果输入预设的结果展示模板生成检测结果展示文件并保存到指定路径。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1至8中任一项所述的电子文档信息隐藏深度挖掘方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410077349.9A CN117910043A (zh) | 2024-01-18 | 2024-01-18 | 电子文档信息隐藏深度挖掘方法、系统和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410077349.9A CN117910043A (zh) | 2024-01-18 | 2024-01-18 | 电子文档信息隐藏深度挖掘方法、系统和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117910043A true CN117910043A (zh) | 2024-04-19 |
Family
ID=90694145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410077349.9A Pending CN117910043A (zh) | 2024-01-18 | 2024-01-18 | 电子文档信息隐藏深度挖掘方法、系统和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117910043A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150052601A1 (en) * | 2012-03-30 | 2015-02-19 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
CN106844476A (zh) * | 2016-12-23 | 2017-06-13 | 上海上讯信息技术股份有限公司 | 一种识别文件格式及对应完整性的方法和设备 |
CN108133148A (zh) * | 2017-12-22 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 数据安全检查方法及系统 |
CN112765672A (zh) * | 2021-03-16 | 2021-05-07 | 北京安天网络安全技术有限公司 | 一种恶意代码的检测方法、装置和计算机可读介质 |
CN116186764A (zh) * | 2023-01-05 | 2023-05-30 | 国网山东省电力公司 | 一种数据安全检查方法及系统 |
-
2024
- 2024-01-18 CN CN202410077349.9A patent/CN117910043A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150052601A1 (en) * | 2012-03-30 | 2015-02-19 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
CN106844476A (zh) * | 2016-12-23 | 2017-06-13 | 上海上讯信息技术股份有限公司 | 一种识别文件格式及对应完整性的方法和设备 |
CN108133148A (zh) * | 2017-12-22 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 数据安全检查方法及系统 |
CN112765672A (zh) * | 2021-03-16 | 2021-05-07 | 北京安天网络安全技术有限公司 | 一种恶意代码的检测方法、装置和计算机可读介质 |
CN116186764A (zh) * | 2023-01-05 | 2023-05-30 | 国网山东省电力公司 | 一种数据安全检查方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7809710B2 (en) | System and method for extracting content for submission to a search engine | |
CN101986292B (zh) | 根据图像处理表单的方法和系统 | |
US11163906B2 (en) | Adaptive redaction and data releasability systems using dynamic parameters and user defined rule sets | |
CN108090351B (zh) | 用于处理请求消息的方法和装置 | |
CN107203574B (zh) | 数据管理和数据分析的聚合 | |
US20170357486A1 (en) | Enhancing a crowdsourced integrated development environment application | |
US20130232424A1 (en) | User operation detection system and user operation detection method | |
CN114118038A (zh) | 表格文档在线编辑方法、装置、设备及介质 | |
CN116209997A (zh) | 用于对软件漏洞进分类的系统和方法 | |
WO2023272850A1 (zh) | 基于决策树的产品匹配方法、装置、设备及存储介质 | |
CN111488594B (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
CN111563015A (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
CN103678692A (zh) | 一种下载文件的安全扫描方法及装置 | |
CN108287901A (zh) | 用于生成信息的方法和装置 | |
CN103716394A (zh) | 下载文件的管理方法及装置 | |
US20070185832A1 (en) | Managing tasks for multiple file types | |
CN115525778A (zh) | 企业文档处理方法、装置及存储介质 | |
EP3217282B1 (en) | System for using login information and historical data to determine processing for data received from various data sources | |
CN114357187A (zh) | 法规制度的搜索方法、装置、存储介质及计算机设备 | |
CN114139503A (zh) | 文档内容处理方法、装置、设备及存储介质 | |
CN113656737A (zh) | 网页内容展示方法、装置、电子设备以及存储介质 | |
US20210174011A1 (en) | Information processing apparatus and non-transitory computer readable medium storing program | |
US20090300001A1 (en) | Server apparatus, catalog processing method, and computer-readable storage medium | |
CN107491530B (zh) | 一种基于文件自动标记信息的社会关系挖掘分析方法 | |
US20230036217A1 (en) | Systems and methods for using a structured data database and for exchanging electronic files containing unstructured or partially structered data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |