CN110717180B - 基于自定位行为的恶意文档检测方法、***及存储介质 - Google Patents

基于自定位行为的恶意文档检测方法、***及存储介质 Download PDF

Info

Publication number
CN110717180B
CN110717180B CN201810767825.4A CN201810767825A CN110717180B CN 110717180 B CN110717180 B CN 110717180B CN 201810767825 A CN201810767825 A CN 201810767825A CN 110717180 B CN110717180 B CN 110717180B
Authority
CN
China
Prior art keywords
file
behavior
searching
traversing
judging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810767825.4A
Other languages
English (en)
Other versions
CN110717180A (zh
Inventor
张国强
李柏松
王小丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201810767825.4A priority Critical patent/CN110717180B/zh
Publication of CN110717180A publication Critical patent/CN110717180A/zh
Application granted granted Critical
Publication of CN110717180B publication Critical patent/CN110717180B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了基于自定位行为的恶意文档检测方法,包括:获取***进程树,筛选文档相关进程并进行监控;若利用监控信息判定所述进程存在查找文件自身的行为,并同时存在文件内查找特定内容的行为,则判定当前文档为恶意文档,否则继续监控。同时,本发明公开了基于自定位行为的恶意文档检测***。通过本发明所提供的技术方案能够有效识别已知和未知的恶意文档。

Description

基于自定位行为的恶意文档检测方法、***及存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及基于自定位行为的恶意文档检测方法、***及存储介质。
背景技术
“恶意文档”是指正常文档被嵌入了可执行的代码,在文档被打开时,代码会被加载执行,且可执行的代码具有恶意的行为。通常来说正常文档中被嵌入的可执行代码都为恶意代码。嵌入可执行代码(后面统称为恶意代码)的方式一般为两种:一种是利用Office系列漏洞,另外一种是利用文档中的宏。利用宏来执行恶意代码通常很容易被发现,也很容易被检测。该专利中主要针对利用Office系列漏洞这类进行检测。
目前来看,对利用Office系列漏洞加载恶意代码的检测,基本是针对流行的漏洞进行分析,提取出检测特征,对其进行检测。该方法需要对漏洞有深入的分析,还需要对提取的检测特征进行大量测试,以免存在误报。而提取出的检测特征只能对这一个漏洞进行检测,每出来一个漏洞,都需要重复上面的流程,需要耗费大量的精力。最重要的问题在于,该检测只能对已经出现的漏洞进行检测,无法对未知的漏洞进行检测,没有通用的检测方法。
发明内容
针对上述技术问题,本发明所述的技术方案通过对文档相关进程进行监控,并利用监控信息判断是否存在查找文件自身的行为并同时存在文件内遍历特定内容的行为,进而判断相关文档是否为恶意文档,不仅能够识别已知恶意文档,同时能够及时发现未知的恶意文档,进而提高检出率。
本发明采用如下方法来实现:基于自定位行为的恶意文档检测方法,包括:
获取***进程树,筛选文档相关进程并进行监控;
若利用监控信息判定所述进程存在查找文件自身的行为,并同时存在文件内查找特定内容的行为,则判定当前文档为恶意文档,否则继续监控;
所述利用监控信息判定所述进程存在查找文件自身的行为,包括:
判断所述进程是否存在超过预设频率的遍历文件句柄的行为;
若存在则进一步判断是否存在遍历指定文件标识符的行为;
若存在则判定所述进程存在查找文件自身的行为。
上述方法中,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
进一步地,所述利用监控信息判定所述进程存在文件内查找特定内容的行为,包括:
判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
本发明可以采用如下***来实现:基于自定位行为的恶意文档检测***,包括:
进程筛选模块,用于获取***进程树,筛选文档相关进程并进行监控;
第一判断模块,用于利用监控信息判断所述进程是否存在查找文件自身的行为;
第二判断模块,用于利用监控信息判断所述进程是否存在文件内查找特定内容的行为;
恶意判定模块,用于当第一判断模块和第二判断模块执行结果为真时则判定当前文档为恶意文档,否则继续监控;
所述第一判断模块,具体用于:
判断所述进程是否存在超过预设频率的遍历文件句柄的行为;
若存在则进一步判断是否存在遍历指定文件标识符的行为;
若存在则判定所述进程存在查找文件自身的行为。
上述***中,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
进一步地,所述第二判断模块,具体用于:
判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的基于自定位行为的恶意文档检测方法。
综上,本发明给出基于自定位行为的恶意文档检测方法、***及存储介质,其中,所述方法通过监控***进程树,并筛选与操作文档相关的进程并获取监控信息,基于监控信息判断该进程是否存在查找文件自身的行为,并同时存在在文件内查找特定内容的行为,若同时存在上述行为则判定相关文档为存在漏洞的恶意文档。本发明所述的技术方案克服了传统方法需要针对每个新的office系列漏洞,都需要花费大量时间去处理并提取特征的缺陷。本发明所述方案通过判定文档相关进程是否存在自我查找行为,进而判定是否为恶意文档。该技术方案具备通用性,不仅可以及时识别已知恶意文档,对未知的恶意文档也能够及时检出。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于自定位行为的恶意文档检测方法实施例1流程图;
图2为本发明提供的基于自定位行为的恶意文档检测方法实施例2流程图;
图3为本发明提供的基于自定位行为的恶意文档检测***实施例结构图。
具体实施方式
本发明给出了基于自定位行为的恶意文档检测方法、***及存储介质的实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
利用Office系列漏洞加载恶意代码基本会存在同一个局限性,即通常漏洞利用成功处可写的内存空间是有限的,只能写入少量的ShellCode。此时,通常恶意程序作者会在文档其他位置处写入具体执行操作的核心ShellCode代码。因此,在漏洞利用成功处的程序将读取文档其他位置处的核心ShellCode代码进行加载执行。
本发明首先提供了一种基于自定位行为的恶意文档检测方法实施例1,如图1所示,包括:
S101:获取***进程树,筛选文档相关进程并进行监控;
S102:利用监控信息判断所述进程是否存在查找文件自身的行为,若存在则继续执行S103,否则继续监控;
其中,所述利用监控信息判断所述进程是否存在查找文件自身的行为,包括:判断所述进程是否存在超过预设频率的遍历文件句柄的行为;若存在则进一步判断是否存在遍历指定文件标识符的行为;若存在则判定所述进程存在查找文件自身的行为。
S103:利用监控信息判断所述进程是否存在文件内查找特定内容的行为,若存在则判定当前文档为恶意文档,否则继续监控。
其中,所述利用监控信息判断所述进程是否存在文件内查找特定内容的行为,包括:判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
上述方法实施例中,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
本发明同时提供了一种基于自定位行为的恶意文档检测方法实施例2,如图2所示,包括:
S201:获取***进程树,筛选文档相关进程并进行监控;
S202:利用监控信息判断所述进程是否存在超过预设频率的遍历文件句柄的行为,若存在则继续执行S203,否则继续监控;
S203:判断是否存在遍历指定文件标识符的行为,若存在则继续执行S204,否则继续监控;
其中,所述文件标识符为恶意程序作者为存放于文档其他位置的核心ShellCode所配置的唯一标识符,用于在漏洞利用成功位置处的ShellCode程序读取所述文件标识符所对应的ShellCode程序。所述文档其他位置包括但不限于文档尾部。
S204:判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定当前文档为恶意文档,否则继续监控。
其中,所述内容标识符为恶意程序作者定义的,用于定位并获取实质执行的ShellCode部分。
其中,所述超过预设频率的遍历文件句柄的行为,包括但不限于:调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。例如:监控发现在1s内调用GetFileSize函数超过10次,且文件句柄数每次增加4。
本发明其次提供了基于自定位行为的恶意文档检测***实施例,如图3所示,包括:
进程筛选模块301,用于获取***进程树,筛选文档相关进程并进行监控;
第一判断模块302,用于利用监控信息判断所述进程是否存在查找文件自身的行为;
第二判断模块303,用于利用监控信息判断所述进程是否存在文件内查找特定内容的行为;
恶意判定模块304,用于当第一判断模块和第二判断模块执行结果为真时则判定当前文档为恶意文档,否则继续监控。
优选地,所述第一判断模块,具体用于:
判断所述进程是否存在超过预设频率的遍历文件句柄的行为;
若存在则进一步判断是否存在遍历指定文件标识符的行为;
若存在则判定所述进程存在查找文件自身的行为。
上述***实施例中,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
优选地,所述第二判断模块,具体用于:
判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一方法实施例所述的基于自定位行为的恶意文档检测方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了基于自定位行为的恶意文档检测方法、***及存储介质的实施例,由于传统针对存在漏洞的恶意文件的检测方法需要针对每次出现的新漏洞进行分析处理,并提取用于后续检测的特征,不仅不具备通用性,对未知的漏洞也不具备检出能力。本发明所公开的上述实施例,针对多数文档漏洞都会存在存储ShellCode空间不足的局限性,导致多数恶意攻击者都在文档其他位置存放核心ShellCode程序,而在漏洞利用成功处存放跳转ShellCode即可。针对上述行为特征,本发明技术方案通过监控文档相关进程,判断是否存在查找文件自身的行为,并同时存在在文件内查找特定内容的行为,则可以判定为恶意文档。上述实施例不仅具有通用性,而且对已知和未知的漏洞都具备检出能力。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.基于自定位行为的恶意文档检测方法,其特征在于,包括:
获取***进程树,筛选文档相关进程并进行监控;
若利用监控信息判定所述进程存在查找文件自身的行为,并同时存在文件内查找特定内容的行为,则判定当前文档为恶意文档,否则继续监控;
所述利用监控信息判定所述进程存在查找文件自身的行为,包括:
判断所述进程是否存在超过预设频率的遍历文件句柄的行为;
若存在则进一步判断是否存在遍历指定文件标识符的行为;
若存在则判定所述进程存在查找文件自身的行为。
2.如权利要求1所述的方法,其特征在于,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
3.如权利要求1所述的方法,其特征在于,所述利用监控信息判定所述进程存在文件内查找特定内容的行为,包括:
判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
4.基于自定位行为的恶意文档检测***,其特征在于,包括:
进程筛选模块,用于获取***进程树,筛选文档相关进程并进行监控;
第一判断模块,用于利用监控信息判断所述进程是否存在查找文件自身的行为;
第二判断模块,用于利用监控信息判断所述进程是否存在文件内查找特定内容的行为;
恶意判定模块,用于当第一判断模块和第二判断模块执行结果为真时则判定当前文档为恶意文档,否则继续监控;
所述第一判断模块,具体用于:
判断所述进程是否存在超过预设频率的遍历文件句柄的行为;
若存在则进一步判断是否存在遍历指定文件标识符的行为;
若存在则判定所述进程存在查找文件自身的行为。
5.如权利要求4所述的***,其特征在于,所述超过预设频率的遍历文件句柄的行为,包括:
调用GetFileSize函数进行超过预设频率的遍历文件句柄的操作,并且文件句柄每次增加设定值。
6.如权利要求4所述的***,其特征在于,所述第二判断模块,具体用于:
判断所述进程是否存在遍历指定内容标识符的行为,若存在则判定所述进程存在文件内查找特定内容的行为。
7.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-3中任一所述的基于自定位行为的恶意文档检测方法。
CN201810767825.4A 2018-07-13 2018-07-13 基于自定位行为的恶意文档检测方法、***及存储介质 Active CN110717180B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810767825.4A CN110717180B (zh) 2018-07-13 2018-07-13 基于自定位行为的恶意文档检测方法、***及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810767825.4A CN110717180B (zh) 2018-07-13 2018-07-13 基于自定位行为的恶意文档检测方法、***及存储介质

Publications (2)

Publication Number Publication Date
CN110717180A CN110717180A (zh) 2020-01-21
CN110717180B true CN110717180B (zh) 2021-09-28

Family

ID=69208422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810767825.4A Active CN110717180B (zh) 2018-07-13 2018-07-13 基于自定位行为的恶意文档检测方法、***及存储介质

Country Status (1)

Country Link
CN (1) CN110717180B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294951A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于文档型漏洞的恶意代码样本提取方法及***
CN107609396A (zh) * 2017-09-22 2018-01-19 杭州安恒信息技术有限公司 一种基于沙箱虚拟机的逃逸检测方法
CN107808094A (zh) * 2016-09-08 2018-03-16 卡巴斯基实验室股份制公司 检测文件中的恶意代码的***和方法
CN108182363A (zh) * 2017-12-25 2018-06-19 哈尔滨安天科技股份有限公司 嵌入式office文档的检测方法、***及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10594719B2 (en) * 2016-08-30 2020-03-17 Kivu Consulting, Inc. Systems and methods for remote identification of enterprise threats
CN106446685A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 恶意文档的检测方法及装置
CN107330322A (zh) * 2017-06-06 2017-11-07 北京奇虎科技有限公司 文档安全防护方法、装置以及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294951A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于文档型漏洞的恶意代码样本提取方法及***
CN107808094A (zh) * 2016-09-08 2018-03-16 卡巴斯基实验室股份制公司 检测文件中的恶意代码的***和方法
CN107609396A (zh) * 2017-09-22 2018-01-19 杭州安恒信息技术有限公司 一种基于沙箱虚拟机的逃逸检测方法
CN108182363A (zh) * 2017-12-25 2018-06-19 哈尔滨安天科技股份有限公司 嵌入式office文档的检测方法、***及存储介质

Also Published As

Publication number Publication date
CN110717180A (zh) 2020-01-21

Similar Documents

Publication Publication Date Title
US8713680B2 (en) Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
KR101174751B1 (ko) 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법
US7721333B2 (en) Method and system for detecting a keylogger on a computer
CN102663288B (zh) 病毒查杀方法及装置
RU2526716C2 (ru) Эвристический способ анализа кода
US20150310211A1 (en) Method, apparatus and system for detecting malicious process behavior
US10515213B2 (en) Detecting malware by monitoring execution of a configured process
US8448248B2 (en) Apparatus and method for repairing computer system infected by malware
KR101217709B1 (ko) 악성코드 탐지 장치 및 방법
CN108182363B (zh) 嵌入式office文档的检测方法、***及存储介质
CN103699837B (zh) 一种扫描文件的方法和终端设备
CN108804920B (zh) 一种基于跨进程行为监控恶意代码同源性分析的方法
CN115017505A (zh) 一种pe病毒检测方法、装置、电子设备及存储介质
CN110717180B (zh) 基于自定位行为的恶意文档检测方法、***及存储介质
CN110737894B (zh) 复合文档安全检测方法、装置、电子设备及存储介质
KR102292844B1 (ko) 악성코드 탐지 장치 및 방법
CN106778276B (zh) 一种检测无实体文件恶意代码的方法及***
CN111027072A (zh) Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置
CN109472139B (zh) 一种防御勒索病毒对主机文档二次加密的方法及***
CN103116724B (zh) 探测程序样本危险行为的方法及装置
KR101052735B1 (ko) 메모리 조작유무를 감지하는 방법 및 이를 이용한 장치
CN105224871A (zh) 一种病毒清除方法及装置
CN109472141B (zh) 一种基于时间序列化差异检测恶意代码的方法及***
CN108171014B (zh) 一种rtf可疑文件的检测方法、***及存储介质
CN107273177B (zh) 一种基于跳转表定位arm固件装载基址的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant