CN106446685A - 恶意文档的检测方法及装置 - Google Patents
恶意文档的检测方法及装置 Download PDFInfo
- Publication number
- CN106446685A CN106446685A CN201610874701.7A CN201610874701A CN106446685A CN 106446685 A CN106446685 A CN 106446685A CN 201610874701 A CN201610874701 A CN 201610874701A CN 106446685 A CN106446685 A CN 106446685A
- Authority
- CN
- China
- Prior art keywords
- document
- information
- association
- malice
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种恶意文档的检测方法及装置,涉及信息技术领域,可以检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞。所述方法包括:从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;确定与所述文档参数信息对应的文档为恶意文档。本发明适用于恶意文档的检测。
Description
技术领域
本发明涉及一种信息技术领域,特别是涉及一种恶意文档的检测方法及装置。
背景技术
随着计算机技术的不断发展,人类社会的信息化程度越来越高,整个社会的政治、经济、军事、文化以及其他领域对计算机信息***的依赖程度也越来越高。在这种情况下,计算机***的安全性得到了人们越来越多的关注。但是,软件、***的编写需要许许多多技术人员共同完成,他们将一个软件或***分成若干板块,分工编写,然后再进行汇总、测试等,最后再修补、发布,因此在软件中存在漏洞几乎是不可避免的。
漏洞是指软件存在的弱点或缺陷。漏洞常常被攻击者利用,从而使程序行为违背一定的安全策略。目前,对于已经发现的软件漏洞,官方可以制作相关补丁并下发给用户,以弥补这些漏洞。
然而,还会存在一些官方尚未发现、但已被黑客发现并利用的软件漏洞,即0day漏洞。而恶意文档就是根据加载文档的软件存在的0day漏洞而故意制作的不正常的文件,如文档可以为DOC、PDF、XLS、PPT等文档,根据加载该文档的软件存在的0day漏洞而特制的文档,在特定的环境下打开该文档后会成功执行恶意指令等。因此,为了保证软件的使用安全,需要及时找出终端设备中存在的恶意文档。
发明内容
有鉴于此,本发明提供了一种恶意文档的检测方法及装置,主要目的在于可以检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞。
依据本发明一个方面,提供了一种恶意文档的检测方法,该方法包括:
从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测所述关联启动进程信息是否符合预设异常条件;
若是,则获取所述软件进程对应的文档参数信息;
确定与所述文档参数信息对应的文档为恶意文档。
依据本发明另一个方面,提供了一种恶意文档的检测装置,该装置包括:
获取单元,用于从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测单元,用于检测所述获取单元获取的关联启动进程信息是否符合预设异常条件;
所述获取单元,还用于若所述检测单元检测出所述关联启动进程信息符合预设异常条件,则获取所述软件进程对应的文档参数信息;
确定单元,用于确定与所述获取单元获取的文档参数信息对应的文档为恶意文档。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供的一种恶意文档的检测方法及装置,首先从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;然后检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;最后确定与所述文档参数信息对应的文档为恶意文档。本发明通过检测软件进程对应的关联启动进程信息是否符合预设异常条件,可以检测出是否存在可疑进程关系,即当文档被打开时,是否关联启动了一些未知的进程,当检测出关联启动进程信息符合预设异常条件时,可以说明存在可疑进程关系,通过进一步获取该软件进程对应的文档参数信息,进而可以确定与该文档参数信息相应的文档为恶意文档,从而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞,并配置相应的软件漏洞补丁。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种恶意文档的检测方法流程示意图;
图2示出了本发明实施例提供的另一种恶意文档的检测方法流程示意图;
图3示出了本发明实施例提供的一种恶意文档的检测装置结构示意图;
图4示出了本发明实施例提供的另一种恶意文档的检测装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种恶意文档的检测方法,如图1所示,所述方法包括:
101、从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息。
其中,所述日志信息中可以包含终端设备中各文档文件的启动记录情况,具体可以包含文档打开时启动的软件进程信息,以及同时关联启动的进程信息等,而进程信息中可以包含进程标识、文档参数等。例如,用户打开文档A时,以文档A为参数启动了进程B,同时还关联启动了进程C。
对于本发明实施例的执行主体可以为配置在后台服务器中的恶意文档检测装置,为了实现检测出终端设备中存在的恶意文件,可以在终端设备中预先配置特定的客户端,通过该客户端记录包含终端设备中各文档文件的启动记录情况的日志信息,并上传给后台服务器用于进一步分析。
需要说明的是,对于本发明实施例,具体可以应用在终端设备安装了最新的补丁之后,以便发现软件最新的漏洞。
102、检测关联启动进程信息是否符合预设异常条件。
其中,所述预设异常条件可以根据实际需求进行配置。
例如,预设异常条件可以配置为关联启动进程信息对应的进程标识与预先设置的白名单列表中的进程标识都不匹配,当检测出关联启动进程信息对应的进程标识与白名单列表中的一个进程标识匹配时,说明关联启动的是正常的进程,并没有出现异常情况,进而确定关联启动进程信息不符合预设异常条件;当检测出关联启动进程信息对应的进程标识与白名单列表中的进程标识都不匹配时,说明关联启动的是个陌生的进程,很可能是一个非法进程,进而可以确定关联启动进程信息符合预设异常条件。
又例如,可以预先统计不同关联启动进程分别对应的查询次数,即收集不同终端设备上传的日志信息,每当需要对关联启动进程A进行检测时,可以将关联启动进程A对应的查询次数进行累加。此时,预设异常条件可以配置为关联启动进程信息对应的查询次数小于或等于预先设置好的次数阈值,当关联启动进程信息对应的查询次数大于该次数阈值时,说明这个关联启动进程是个很常见的进程,并没有出现异常情况,进而确定关联启动进程信息不符合预设异常条件;当关联启动进程信息对应的查询次数小于或等于该次数阈值时,说明这个关联启动进程是个最新出现的进程,很可能是一个非法进程,进而可以确定关联启动进程信息符合预设异常条件。
103、若关联启动进程信息符合预设异常条件,则获取软件进程对应的文档参数信息。
其中,所述文档参数信息中可以包含文档标识、文档存储位置等信息。
具体地,对于本发明实施例,可以通过文档参数信息,获取在终端设备中具体是以哪个文档为参数启动的软件进程。
104、确定与文档参数信息对应的文档为恶意文档。
进一步地,可以输出相应的告警信息,以便及时提醒技术人员发现相应的软件0day漏洞,并进行相应防范措施,其中,该告警信息可以文本告警信息、图片告警信息、音频告警信息、视频告警信息等。
本发明实施例提供的一种恶意文档的检测方法,首先从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;然后检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;最后确定与所述文档参数信息对应的文档为恶意文档。本发明通过检测软件进程对应的关联启动进程信息是否符合预设异常条件,可以检测出是否存在可疑进程关系,即当文档被打开时,是否关联启动了一些未知的进程,当检测出关联启动进程信息符合预设异常条件时,可以说明存在可疑进程关系,通过进一步获取该软件进程对应的文档参数信息,进而可以确定与该文档参数信息相应的文档为恶意文档,从而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞,并配置相应的软件漏洞补丁。
具体地,本发明实施例提供了另一种恶意文档的检测方法,如图2所示,所述方法包括:
201、从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息。
其中,所述日志信息的概念解释可以参考步骤101中相应描述,在此不再赘述。
对于本发明实施例,所述步骤201之前,还可以包括:获取终端设备上传的异常文档;检测所述异常文档中是否存在宏指令信息;根据检测结果对所述日志信息中记录的软件进程进行筛选;所述步骤201具体可以包括:从终端设备上传的日志信息中获取筛选后的软件进程对应的关联启动进程信息。
在本发明实施例中,可以在终端设备中预先配置特定的客户端,用于检测该终端设备中是否存在运行异常的文档,当检测出存在运行异常的文档时,可以提示用户是否将其上传到后台服务器进行分析,根据用户的确定上传指令,将这些异常文档上传到后台服务器。在后台服务器侧,可以获取这些异常文档,检测异常文档中是否存在宏指令信息,并根据检测结果对所述日志信息中记录的软件进程进行筛选过滤,进而可以过滤掉一些干扰因素。
具体地,所述根据检测结果对所述日志信息中记录的软件进程进行筛选包括:当检测出所述异常文档中存在宏指令信息时,将所述日志信息中记录的以所述异常文档为文档参数的软件进程进行删除。例如,用户可以在文档a中编写一些宏指令,当该文档a被打开时,可能会关联启动一些用户自定义的进程,为了避免对接下来的分析过程造成干扰,可以将日志信息中记录的以文档a为文档参数的软件进程进行删除。
需要说明的是,通过检测异常文档中是否存在宏指令信息,并根据检测结果对日志信息中记录的软件进程进行筛选,可以实现只对筛选后的软件进程进行分析,过滤掉了分析过程中的干扰因素,进而可以提高检测恶意文件的准确性。
进一步地,在所述获取终端设备上传的异常文档之后,还可以包括:将所述异常文档配置在预设沙箱环境中进行测试,其中,所述预设沙箱环境可以根据实际需求进行配置;根据测试结果确定所述异常文档是否为恶意文档。
具体地,所述根据测试结果确定所述异常文档是否为恶意文档包括:当所述异常文档在测试的过程中存在联网行为、和/或关闭行为、和/或崩溃行为、和/或产生额外进程的行为时,确定所述异常文档为恶意文档。进而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞。
例如,将异常文档配置在预设沙箱环境中进行测试,当该异常文档在测试的过程中存在联网行为或产生额外进程的行为时,确定该异常文档为恶意文档。
202、检测关联启动进程信息是否符合预设异常条件。
其中,所述预设异常条件可以根据实际需求进行配置。
具体地,所述步骤202具体可以包括:检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配,其中,所述预设白名单列表中保存有预先统计的多个正常关联启动进程分别的进程标识信息,所述预设白名单列表可以由技术人员事先进行编写配置;若是,则确定所述关联启动进程信息符合预设异常条件。
例如,当检测出关联启动进程信息对应的进程标识与预设白名单列表中的一个进程标识匹配时,说明关联启动的是正常的进程,并没有出现异常情况,可以确定关联启动进程信息不符合预设异常条件;当检测出关联启动进程信息对应的进程标识与预设白名单列表中的进程标识都不匹配时,说明关联启动的是个陌生的进程,很可能是一个非法进程,可以确定该关联启动进程信息符合预设异常条件。
在本发明实施例中,可以预先统计不同关联启动进程分别对应的查询次数,即收集不同终端设备上传的日志信息,每当需要对关联启动进程B进行检测时,可以将关联启动进程B对应的查询次数进行累加。此时,所述步骤202具体还可以包括:检测所述关联启动进程信息对应的查询次数是否小于或等于预设阈值,其中,所述预设阈值可以根据实际需求进行配置;若是,则确定所述关联启动进程信息符合预设异常条件。
例如,当关联启动进程信息对应的查询次数大于预设阈值时,说明这个关联启动进程是个很常见的进程,并没有出现异常情况,可以确定关联启动进程信息不符合预设异常条件;当关联启动进程信息对应的查询次数小于或等于预设阈值时,说明这个关联启动进程是个最新出现的进程,很可能是一个非法进程,进而可以确定关联启动进程信息符合预设异常条件。
203、若关联启动进程信息符合预设异常条件,则获取软件进程对应的文档参数信息。
其中,所述文档参数信息的概念解释可以参考步骤203中相应描述,在此不再赘述。
具体地,对于本发明实施例,可以通过文档参数信息,获取在终端设备中具体是以哪个文档为参数启动的软件进程。
204、确定与文档参数信息对应的文档为恶意文档。
205、获取恶意文档并进行解析。
对于本发明实施例,当确定文档为恶意文档后,可以向保存有该恶意文档的终端设备发送告警信息,以提示用户上传该恶意文档进行分析,还可以向该终端设备预先配置的客户端发送上传该恶意文档的指令信息,以便该客户端上传该恶意文档进行分析。
206、根据解析结果确定与软件进程相对应的软件漏洞信息。
在本发明实施例中,在获取得到恶意文档后,对其进行解析,得到该恶意文档中包含的恶意指令代码程序,根据该恶意指令代码程序,可以确定相应的软件0day漏洞,并根据该软件0day漏洞,可以配置相应软件的软件补丁,进一步地可以下发给每个用户,以便保证其他用户使用该软件的安全性。
本发明实施例提供的另一种恶意文档的检测方法,首先从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;然后检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;最后确定与所述文档参数信息对应的文档为恶意文档。本发明通过检测软件进程对应的关联启动进程信息是否符合预设异常条件,可以检测出是否存在可疑进程关系,即当文档被打开时,是否关联启动了一些未知的进程,当检测出关联启动进程信息符合预设异常条件时,可以说明存在可疑进程关系,通过进一步获取该软件进程对应的文档参数信息,进而可以确定与该文档参数信息相应的文档为恶意文档,从而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞,并配置相应的软件漏洞补丁。
进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种恶意文档的检测装置,如图3所示,所述装置包括:获取单元31、检测单元32、确定单元33。
所述获取单元31,可以用于从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息。
所述检测单元32,可以用于检测所述获取单元31获取的关联启动进程信息是否符合预设异常条件。
所述获取单元31,还可以用于若所述检测单元32检测出所述关联启动进程信息符合预设异常条件,则获取所述软件进程对应的文档参数信息。
所述确定单元33,可以用于确定与所述获取单元31获取的文档参数信息对应的文档为恶意文档。
需要说明的是,本发明实施例提供的一种恶意文档的检测装置所涉及各功能单元的其他相应描述,可以参考图1中的对应描述,在此不再赘述。
本发明实施例提供的一种恶意文档的检测装置,首先从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;然后检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;最后确定与所述文档参数信息对应的文档为恶意文档。本发明通过检测软件进程对应的关联启动进程信息是否符合预设异常条件,可以检测出是否存在可疑进程关系,即当文档被打开时,是否关联启动了一些未知的进程,当检测出关联启动进程信息符合预设异常条件时,可以说明存在可疑进程关系,通过进一步获取该软件进程对应的文档参数信息,进而可以确定与该文档参数信息相应的文档为恶意文档,从而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞,并配置相应的软件漏洞补丁。
进一步地,作为图2所述方法的具体实现,本发明实施例提供了另一种恶意文档的检测装置,如图4所示,所述装置包括:获取单元41、检测单元42、确定单元43。
所述获取单元41,可以用于从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息。
所述检测单元42,可以用于检测所述获取单元41获取的关联启动进程信息是否符合预设异常条件。
所述获取单元41,还可以用于若所述检测单元42检测出所述关联启动进程信息符合预设异常条件,则获取所述软件进程对应的文档参数信息。
所述确定单元43,可以用于确定与所述获取单元41获取的文档参数信息对应的文档为恶意文档。
具体地,所述检测单元42包括:检测模块421、确定模块422。
所述检测模块421,可以用于检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配。
所述确定模块422,可以用于若所述检测模块421检测出所述关联启动进程信息对应的进程标识信息与预设白名单列表中的进程标识信息都不匹配,则确定所述关联启动进程信息符合预设异常条件。
所述检测模块421,可以用于检测所述关联启动进程信息对应的查询次数是否小于或等于预设阈值。
所述确定模块422,可以用于若所述检测模块421检测出所述关联启动进程信息对应的查询次数小于或等于预设阈值,则确定所述关联启动进程信息符合预设异常条件。
进一步地,所述装置还包括:筛选单元44。
所述获取单元41,还可以用于获取终端设备上传的异常文档。
所述检测单元42,还可以用于检测所述获取单元41获取的异常文档中是否存在宏指令信息。
所述筛选单元44,用于根据检测结果对所述日志信息中记录的软件进程进行筛选。
所述获取单元41,具体可以用于从终端设备上传的日志信息中获取筛选后的软件进程对应的关联启动进程信息。
所述筛选单元44,具体可以用于当检测出所述异常文档中存在宏指令信息时,将所述日志信息中记录的以所述异常文档为文档参数的软件进程进行删除。
进一步地,所述装置还包括:测试单元45。
所述测试单元45,可以用于将所述异常文档配置在预设沙箱环境中进行测试。
所述确定单元43,还可以用于根据测试结果确定所述异常文档是否为恶意文档。
所述确定单元43,具体可以用于当所述异常文档在测试的过程中存在联网行为、和/或关闭行为、和/或崩溃行为、和/或产生额外进程的行为时,确定所述异常文档为恶意文档。
进一步地,所述装置还包括:解析单元46。
所述获取单元41,还可以用于获取所述恶意文档。
所述解析单元46,可以用于对所述获取单元41获取的恶意文档进行解析。
所述确定单元43,还可以用于根据解析结果确定与所述软件进程相对应的软件漏洞信息。
需要说明的是,本发明实施例提供的另一种恶意文档的检测装置所涉及各功能单元的其他相应描述,可以参考图2中的对应描述,在此不再赘述。
本发明实施例提供的另一种恶意文档的检测装置,首先从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;然后检测所述关联启动进程信息是否符合预设异常条件;若是,则获取所述软件进程对应的文档参数信息;最后确定与所述文档参数信息对应的文档为恶意文档。本发明通过检测软件进程对应的关联启动进程信息是否符合预设异常条件,可以检测出是否存在可疑进程关系,即当文档被打开时,是否关联启动了一些未知的进程,当检测出关联启动进程信息符合预设异常条件时,可以说明存在可疑进程关系,通过进一步获取该软件进程对应的文档参数信息,进而可以确定与该文档参数信息相应的文档为恶意文档,从而可以实现检测出终端设备中存在的恶意文档,以便及时发现相应的软件0day漏洞,并配置相应的软件漏洞补丁。
本发明实施例公开了:
A1、一种恶意文档的检测方法,包括:
从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测所述关联启动进程信息是否符合预设异常条件;
若是,则获取所述软件进程对应的文档参数信息;
确定与所述文档参数信息对应的文档为恶意文档。
A2、如A1所述的恶意文档的检测方法,所述检测所述关联启动进程信息是否符合预设异常条件包括:
检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配;
若是,则确定所述关联启动进程信息符合预设异常条件。
A3、如A1所述的恶意文档的检测方法,所述检测所述关联启动进程信息是否符合预设异常条件包括:
检测所述关联启动进程信息对应的查询次数是否小于或等于预设阈值;
若是,则确定所述关联启动进程信息符合预设异常条件。
A4、如A1所述的恶意文档的检测方法,所述从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息之前,所述方法还包括:
获取终端设备上传的异常文档;
检测所述异常文档中是否存在宏指令信息;
根据检测结果对所述日志信息中记录的软件进程进行筛选;
所述从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息包括:
从终端设备上传的日志信息中获取筛选后的软件进程对应的关联启动进程信息。
A5、如A4所述的恶意文档的检测方法,所述根据检测结果对所述日志信息中记录的软件进程进行筛选包括:
当检测出所述异常文档中存在宏指令信息时,将所述日志信息中记录的以所述异常文档为文档参数的软件进程进行删除。
A6、如A4所述的恶意文档的检测方法,所述获取终端设备上传的异常文档之后,所述方法还包括:
将所述异常文档配置在预设沙箱环境中进行测试;
根据测试结果确定所述异常文档是否为恶意文档。
A7、如A6所述的恶意文档的检测方法,所述根据测试结果确定所述异常文档是否为恶意文档包括:
当所述异常文档在测试的过程中存在联网行为、和/或关闭行为、和/或崩溃行为、和/或产生额外进程的行为时,确定所述异常文档为恶意文档。
A8、如A1所述的恶意文档的检测方法,所述确定与所述文档参数信息对应的文档为恶意文档之后,所述方法还包括:
获取所述恶意文档并进行解析;
根据解析结果确定与所述软件进程相对应的软件漏洞信息。
B9、一种恶意文档的检测装置,包括:
获取单元,用于从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测单元,用于检测所述获取单元获取的关联启动进程信息是否符合预设异常条件;
所述获取单元,还用于若所述检测单元检测出所述关联启动进程信息符合预设异常条件,则获取所述软件进程对应的文档参数信息;
确定单元,用于确定与所述获取单元获取的文档参数信息对应的文档为恶意文档。
B10、如B9所述的恶意文档的检测装置,所述检测单元包括:
检测模块,用于检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配;
确定模块,用于若所述检测模块检测出所述关联启动进程信息对应的进程标识信息与预设白名单列表中的进程标识信息都不匹配,则确定所述关联启动进程信息符合预设异常条件。
B11、如B9所述的恶意文档的检测装置,所述检测单元包括:
检测模块,用于检测所述关联启动进程信息对应的查询次数是否小于或等于预设阈值;
确定模块,用于若所述检测模块检测出所述关联启动进程信息对应的查询次数小于或等于预设阈值,则确定所述关联启动进程信息符合预设异常条件。
B12、如B9所述的恶意文档的检测装置,所述装置还包括:筛选单元;
所述获取单元,还用于获取终端设备上传的异常文档;
所述检测单元,还用于检测所述获取单元获取的异常文档中是否存在宏指令信息;
所述筛选单元,用于根据检测结果对所述日志信息中记录的软件进程进行筛选;
所述获取单元,具体用于从终端设备上传的日志信息中获取筛选后的软件进程对应的关联启动进程信息。
B13、如B12所述的恶意文档的检测装置,
所述筛选单元,具体用于当检测出所述异常文档中存在宏指令信息时,将所述日志信息中记录的以所述异常文档为文档参数的软件进程进行删除。
B14、如B12所述的恶意文档的检测装置,所述装置还包括:测试单元;
所述测试单元,用于将所述异常文档配置在预设沙箱环境中进行测试;
所述确定单元,还用于根据测试结果确定所述异常文档是否为恶意文档。
B15、如B14所述的恶意文档的检测装置,
所述确定单元,具体用于当所述异常文档在测试的过程中存在联网行为、和/或关闭行为、和/或崩溃行为、和/或产生额外进程的行为时,确定所述异常文档为恶意文档。
B16、如B9所述的恶意文档的检测装置,所述装置还包括:解析单元;
所述获取单元,还用于获取所述恶意文档;
所述解析单元,用于对所述获取单元获取的恶意文档进行解析;
所述确定单元,还用于根据解析结果确定与所述软件进程相对应的软件漏洞信息。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种恶意文档的检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种恶意文档的检测方法,其特征在于,包括:
从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测所述关联启动进程信息是否符合预设异常条件;
若是,则获取所述软件进程对应的文档参数信息;
确定与所述文档参数信息对应的文档为恶意文档。
2.根据权利要求1所述的恶意文档的检测方法,其特征在于,所述检测所述关联启动进程信息是否符合预设异常条件包括:
检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配;
若是,则确定所述关联启动进程信息符合预设异常条件。
3.根据权利要求1所述的恶意文档的检测方法,其特征在于,所述检测所述关联启动进程信息是否符合预设异常条件包括:
检测所述关联启动进程信息对应的查询次数是否小于或等于预设阈值;
若是,则确定所述关联启动进程信息符合预设异常条件。
4.根据权利要求1所述的恶意文档的检测方法,其特征在于,所述从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息之前,所述方法还包括:
获取终端设备上传的异常文档;
检测所述异常文档中是否存在宏指令信息;
根据检测结果对所述日志信息中记录的软件进程进行筛选;
所述从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息包括:
从终端设备上传的日志信息中获取筛选后的软件进程对应的关联启动进程信息。
5.根据权利要求4所述的恶意文档的检测方法,其特征在于,所述根据检测结果对所述日志信息中记录的软件进程进行筛选包括:
当检测出所述异常文档中存在宏指令信息时,将所述日志信息中记录的以所述异常文档为文档参数的软件进程进行删除。
6.根据权利要求4所述的恶意文档的检测方法,其特征在于,所述获取终端设备上传的异常文档之后,所述方法还包括:
将所述异常文档配置在预设沙箱环境中进行测试;
根据测试结果确定所述异常文档是否为恶意文档。
7.根据权利要求6所述的恶意文档的检测方法,其特征在于,所述根据测试结果确定所述异常文档是否为恶意文档包括:
当所述异常文档在测试的过程中存在联网行为、和/或关闭行为、和/或崩溃行为、和/或产生额外进程的行为时,确定所述异常文档为恶意文档。
8.根据权利要求1所述的恶意文档的检测方法,其特征在于,所述确定与所述文档参数信息对应的文档为恶意文档之后,所述方法还包括:
获取所述恶意文档并进行解析;
根据解析结果确定与所述软件进程相对应的软件漏洞信息。
9.一种恶意文档的检测装置,其特征在于,包括:
获取单元,用于从终端设备上传的日志信息中获取软件进程对应的关联启动进程信息;
检测单元,用于检测所述获取单元获取的关联启动进程信息是否符合预设异常条件;
所述获取单元,还用于若所述检测单元检测出所述关联启动进程信息符合预设异常条件,则获取所述软件进程对应的文档参数信息;
确定单元,用于确定与所述获取单元获取的文档参数信息对应的文档为恶意文档。
10.根据权利要求9所述的恶意文档的检测装置,其特征在于,所述检测单元包括:
检测模块,用于检测所述关联启动进程信息对应的进程标识信息是否与预设白名单列表中的进程标识信息都不匹配;
确定模块,用于若所述检测模块检测出所述关联启动进程信息对应的进程标识信息与预设白名单列表中的进程标识信息都不匹配,则确定所述关联启动进程信息符合预设异常条件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610874701.7A CN106446685A (zh) | 2016-09-30 | 2016-09-30 | 恶意文档的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610874701.7A CN106446685A (zh) | 2016-09-30 | 2016-09-30 | 恶意文档的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106446685A true CN106446685A (zh) | 2017-02-22 |
Family
ID=58171616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610874701.7A Pending CN106446685A (zh) | 2016-09-30 | 2016-09-30 | 恶意文档的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106446685A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109670337A (zh) * | 2018-12-24 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
CN110351222A (zh) * | 2018-04-02 | 2019-10-18 | 腾讯科技(深圳)有限公司 | 数据安全处理方法及装置、*** |
CN110457933A (zh) * | 2018-05-07 | 2019-11-15 | 哈尔滨安天科技股份有限公司 | 基于深度拆解能力的去隐私化威胁检测方法及*** |
CN110717180A (zh) * | 2018-07-13 | 2020-01-21 | 北京安天网络安全技术有限公司 | 基于自定位行为的恶意文档检测方法、***及存储介质 |
CN111859896A (zh) * | 2019-04-01 | 2020-10-30 | 长鑫存储技术有限公司 | 配方文档检测方法、装置、计算机可读介质及电子设备 |
CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及*** |
CN113515744A (zh) * | 2021-03-24 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 恶意文档检测方法、装置、***、电子装置和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及*** |
CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机***安全评估方法 |
US20100306847A1 (en) * | 2009-05-26 | 2010-12-02 | Microsoft Corporation | Identifying security properties of systems from application crash traffic |
CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和*** |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
-
2016
- 2016-09-30 CN CN201610874701.7A patent/CN106446685A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100306847A1 (en) * | 2009-05-26 | 2010-12-02 | Microsoft Corporation | Identifying security properties of systems from application crash traffic |
CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及*** |
CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机***安全评估方法 |
CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和*** |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351222A (zh) * | 2018-04-02 | 2019-10-18 | 腾讯科技(深圳)有限公司 | 数据安全处理方法及装置、*** |
CN110457933A (zh) * | 2018-05-07 | 2019-11-15 | 哈尔滨安天科技股份有限公司 | 基于深度拆解能力的去隐私化威胁检测方法及*** |
CN110457933B (zh) * | 2018-05-07 | 2022-08-23 | 安天科技集团股份有限公司 | 基于深度拆解能力的去隐私化威胁检测方法及*** |
CN110717180A (zh) * | 2018-07-13 | 2020-01-21 | 北京安天网络安全技术有限公司 | 基于自定位行为的恶意文档检测方法、***及存储介质 |
CN109670337A (zh) * | 2018-12-24 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
CN109670337B (zh) * | 2018-12-24 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
CN111859896A (zh) * | 2019-04-01 | 2020-10-30 | 长鑫存储技术有限公司 | 配方文档检测方法、装置、计算机可读介质及电子设备 |
CN111859896B (zh) * | 2019-04-01 | 2022-11-25 | 长鑫存储技术有限公司 | 配方文档检测方法、装置、计算机可读介质及电子设备 |
CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及*** |
CN112153062B (zh) * | 2020-09-27 | 2023-02-21 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及*** |
CN113515744A (zh) * | 2021-03-24 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 恶意文档检测方法、装置、***、电子装置和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106446685A (zh) | 恶意文档的检测方法及装置 | |
US8707385B2 (en) | Automated compliance policy enforcement in software systems | |
Jimenez et al. | Vulnerability prediction models: A case study on the linux kernel | |
Casey et al. | Digital transformation risk management in forensic science laboratories | |
Ajijola et al. | A review and comparative evaluation of forensics guidelines of NIST SP 800-101 Rev. 1: 2014 and ISO/IEC 27037: 2012 | |
Radack et al. | Managing security: The security content automation protocol | |
CN107798047B (zh) | 重复工单检测方法、装置、服务器和介质 | |
CN105354494A (zh) | 网页数据篡改的检测方法及装置 | |
CN106485152A (zh) | 漏洞检测方法及装置 | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
Provataki et al. | Differential malware forensics | |
CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
CN105306467A (zh) | 网页数据篡改的分析方法及装置 | |
KR101847277B1 (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
Koschorreck | Automated audit of compliance and security controls | |
Mink et al. | Everybody’s got ML, tell me what else you have: Practitioners’ perception of ML-based security tools and explanations | |
CN104239801B (zh) | 0day漏洞的识别方法以及装置 | |
KR20140077405A (ko) | 사이버 공격 탐지 장치 및 방법 | |
CN116232768B (zh) | 一种信息安全评估方法、***、电子设备及存储介质 | |
Laurenza et al. | An architecture for semi-automatic collaborative malware analysis for cis | |
Bracciale et al. | Cybersecurity vulnerability analysis of medical devices purchased by national health services | |
CN106407815A (zh) | 漏洞检测方法及装置 | |
Maamar et al. | Open challenges in vetting the internet‐of‐things | |
Takahashi et al. | Toward global cybersecurity collaboration: Cybersecurity operation activity model | |
Kergl et al. | Detection of zero day exploits using real-time social media streams |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |