[发明专利]一种文档检测方法、装置、设备及存储介质在审
申请号: | 202110327188.0 | 申请日: | 2021-03-26 |
公开(公告)号: | CN113032785A | 公开(公告)日: | 2021-06-25 |
发明(设计)人: | 叶昌健 | 申请(专利权)人: | 深信服科技股份有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56 |
代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王兆林 |
地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 文档 检测 方法 装置 设备 存储 介质 | ||
本申请公开了一种文档检测方法、装置、设备及存储介质。该方法的步骤包括:接收待检测文档以及检测配置参数;基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;根据静态文件特征以及动态行为特征生成安全检测结果。由于本方法基于检测配置参数有针对性地综合提取待检测文档的静态文件特征以及动态行为特征,并根据静态文件特征以及动态行为特征综合生成安全检测结果,因此能够通过动态行为特征进一步增加生成安全检测结果的特征维度,进而提高了安全检测结果的可靠性,进而相对确保了对文档进行安全性检测的准确性。此外,本申请还提供一种文档检测装置、设备及存储介质,有益效果同上所述。
技术领域
本申请涉及计算机安全领域,特别是涉及一种文档检测方法、装置、设备及存储介质。
背景技术
近年来,带来信息泄漏或非法访问等威胁的不正当程序,即恶意软件的数量以及类型日渐增加。恶意软件在感染后从攻击者经由服务器等接收指令,带来攻击或信息泄漏等威胁。
在普遍情况下,恶意软件感染始于恶意文档,由于用户对于文档类型的文件的日常使用频繁程度较高,因此以文档的形式导致恶意软件的安装已经成为入侵计算机信息系统的一种常见方法,利用恶意文档进行网络攻击一直是攻击者的首选方式之一。当前普遍采用对文档的静态代码进行分析的静态检测方式对于文档进行安全性检测,由于静态检测本质上是对文档中静态代码的规则匹配,因此静态检测难以检测到文档对于最新漏洞,即0day漏洞的利用,并且在文档经过代码混淆处理后,往往能够绕过静态检测的规则,因此静态检测方式往往难以确保对于文档进行安全性检测的准确性。
由此可见,提供一种文档检测方法,以相对确保对文档进行安全性检测的准确性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种文档检测方法、装置、设备及存储介质,以相对确保对文档进行安全性检测的准确性。
为解决上述技术问题,本申请提供一种文档检测方法,包括:
接收待检测文档以及检测配置参数;
基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征;
根据静态文件特征以及动态行为特征生成安全检测结果。
优选地,检测配置参数包括静态检测规则参数、动态检测规则参数以及环境配置参数;
基于检测配置参数提取待检测文档的静态文件特征以及待检测文档执行时的动态行为特征,包括:
基于静态检测规则参数提取待检测文档的静态文件特征;
根据环境配置参数配置得到文档执行环境;
基于动态检测规则参数提取待检测文档在文档执行环境下执行时产生的动态行为特征。
优选地,根据环境配置参数配置得到文档执行环境,包括:
根据环境配置参数在沙箱中配置得到文档执行环境。
优选地,根据静态文件特征以及动态行为特征生成安全检测结果,包括:
根据静态文件特征生成静态风险评分,并根据动态行为特征生成动态风险评分;
基于静态风险评分及动态风险评分得到安全检测结果。
优选地,对静态风险评分以及动态风险评分执行加权平均运算,得到安全检测结果,包括:
对静态风险评分以及动态风险评分执行加权平均运算生成混合特征评分;
根据混合特征评分生成异常判定结果;
基于异常判定结果、静态文件特征以及动态行为特征生成安全检测结果。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110327188.0/2.html,转载请声明来源钻瓜专利网。