CN116015727A - 一种确定恶意文档攻击方向的方法、装置及电子设备 - Google Patents
一种确定恶意文档攻击方向的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116015727A CN116015727A CN202211537386.0A CN202211537386A CN116015727A CN 116015727 A CN116015727 A CN 116015727A CN 202211537386 A CN202211537386 A CN 202211537386A CN 116015727 A CN116015727 A CN 116015727A
- Authority
- CN
- China
- Prior art keywords
- attack
- keywords
- malicious
- malicious document
- attack direction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请的实施例公开了一种确定恶意文档攻击方向的方法、装置及电子设备,涉及网络安全技术领域,为能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力而发明。所述方法,包括:提取恶意文档的关键字;根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;将所述比重值与所述第一攻击方向的攻击阈值进行比较;如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。本申请适用于威胁检测。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种确定恶意文档攻击方向的方法、装置、电子设备及可读存储介质。
背景技术
随着互联网技术的快速发展,各种新型的攻击手法层出不穷,有的利用钓鱼网站发起攻击、有的采取水坑攻击、有的直接发送钓鱼邮件诱导接收者“入瓮”等等。在种种攻击当中,利用恶意文档进行攻击的手法可谓屡试不爽,常常成为攻击者所津津乐道的攻击方式之一。然而,目前针对文档的检测方法一般仅仅能够判断是否恶意,却不能检出恶意文档所攻击的行业方向等信息,而确定恶意文档所攻击的行业方向,可以为揭示行业网络环境恶意行为提供检测能力。
如何确定恶意文档所攻击的行业方向是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本申请实施例提供一种确定恶意文档攻击方向的方法、装置、电子设备及可读存储介质,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
第一方面,本申请实施例提供一种确定恶意文档攻击方向的方法,包括:提取恶意文档的关键字;根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;将所述比重值与所述第一攻击方向的攻击阈值进行比较;如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。
根据本申请实施例的一种具体实现方式,所述提取恶意文档的关键字包括:对所述恶意文档进行预处理;对预处理后的恶意文档进行关键字提取,得到所述恶意文档的关键字。
根据本申请实施例的一种具体实现方式,所述根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值,包括:将所述恶意文档的关键字,与所述第一攻击方向上的预设关键字进行匹配,确定出所述第一攻击方向上的目标关键字;其中,所述第一攻击方向上的目标关键字为所述第一攻击方向上的预设关键字中,与所述恶意文档的关键字相匹配的关键字;根据预设规则及所述目标关键字的权重值,确定所述恶意文档的关键字的比重值。
根据本申请实施例的一种具体实现方式,所述恶意文档的关键字及所述目标关键字,分别为一个或多个;所述根据预设规则及所述目标关键字的权重值,确定所述恶意文档的关键字的比重值,包括:提取所述目标关键字的权重值,将所述目标关键字的权重值或者各目标关键字的权重值之和,作为所述恶意文档的关键字的比重值;或者,提取所述目标关键字的权重值,对所述目标关键字的权重值加权之后的值或者各目标关键字的权重值加权之后相加的和值,作为所述恶意文档的关键字的比重值。
根据本申请实施例的一种具体实现方式,所述将所述恶意文档的关键字,与所述第一攻击方向上的预设关键字进行匹配,包括:将所述恶意文档的关键字,与预设识别库中第一攻击方向上的关键字进行匹配;其中,所述预设识别库包括各攻击方向、各攻击方向的关键字、各攻击方向的关键字的权重以及各攻击方向的攻击阈值。
根据本申请实施例的一种具体实现方式,所述预设识别库根据如下步骤确定:获取已知攻击方向下的恶意文档,并提取已知攻击方向下的恶意文档的关键字;根据各已知攻击方向下的恶意文档的关键字,在各已知攻击方向的重要程度,确定各已知攻击方向下的恶意文档的关键字的权重值;根据各已知攻击方向下的恶意文档的关键字的权重值,确定各已知攻击方向的攻击阈值;根据各已知攻击方向、各已知攻击方向下的恶意文档的关键字、各已知攻击方向下的恶意文档的关键字的权重值以及各已知攻击方向的攻击阈值,确定所述预设识别库。
根据本申请实施例的一种具体实现方式,所述攻击方向包括:行业类别或实体类型。
第二方面,本申请实施例提供确定恶意文档攻击方向的装置,提取模块,用于提取恶意文档的关键字;计算模块,用于根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;比较模块,用于将所述比重值与所述第一攻击方向的攻击阈值进行比较;确定模块,用于如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的确定恶意文档攻击方向的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的确定恶意文档攻击方向的方法。
本实施例的确定恶意文档攻击方向的方法、装置、电子设备及可读存储介质,通过提取恶意文档的关键字,根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值,将比重值与第一攻击方向的攻击阈值进行比较,如果比重值大于或等于第一攻击方向的攻击阈值,则可以确定第一攻击方向为恶意文档所针对的攻击方向,通过本实施例的方法的实施,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的确定恶意文档攻击方向的方法的流程示意图;
图2为本申请一具体实施例提供的确定恶意文档攻击方向的方法的流程示意图;
图3为本申请一具体实施例提供的确定恶意文档攻击方向的方法的流程示意图;
图4为本申请一实施例提供的确定恶意文档攻击方向的装置的结构示意图;
图5为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请一实施例提供的一种确定恶意文档攻击方向的方法,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
图1为本申请一实施例提供的确定恶意文档攻击方向的方法的流程示意图,如图1所示,本实施例的确定恶意文档攻击方向的方法,可以包括:
S101、提取恶意文档的关键字。
恶意文档在攻击某个领域(攻击方向)时,在文档中会出现有关于攻击方向的关键字,如教育行业的关键字可为“***”、“教师”等等。
提取的恶意文档的关键字的数量可以为一个也可以为多个。
S102、根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值。
第一攻击方向可为多个攻击方向中的一个攻击方向。攻击方向为攻击领域或者攻击行业。
根据预设规则,可以计算恶意文档中关键字在第一攻击方向上的比重值,为确定恶意文档所针对的攻击方向做准备。
S103、将比重值与第一攻击方向的攻击阈值进行比较。
第一攻击方向的攻击阈值可为预先设置的值。
将恶意文档中关键字在第一攻击方向上的比重值与第一攻击方向的攻击阈值进行比较。
S104、如果比重值大于或等于第一攻击方向的攻击阈值,则确定第一攻击方向为恶意文档所针对的攻击方向。
在比重值大于或等于第一攻击方向的攻击阈值的情况下,确定第一攻击方向为恶意文档所针对的攻击方向。
可以理解的是,在比重值小于第一攻击方向的攻击阈值的情况下,第一攻击方向不是恶意文档所针对的攻击方向。
本实施例,通过提取恶意文档的关键字,根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值,将比重值与第一攻击方向的攻击阈值进行比较,如果比重值大于或等于第一攻击方向的攻击阈值,则可以确定第一攻击方向为恶意文档所针对的攻击方向,通过本实施例的方法的实施,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的提取恶意文档的关键字(S101),可以包括:
S101a、对恶意文档进行预处理。
预处理可以包括格式识别、解包、脱壳和/或拆分等等。对恶意文档进行预处理操作,生成可操作文档,以便提取关键字。
S101b、对预处理后的恶意文档进行关键字提取,得到恶意文档的关键字。
针对预处理过的恶意文档,根据不同的文件格式如pdf、office等的文档进行关键字提取。
为了方便确定恶意文档中关键字在第一攻击方向上的比重值,本申请再一实施例,与上述实施例基本相同,不同之处在于,本实施例的根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值(S102),可以包括:
S102a、将恶意文档的关键字,与第一攻击方向上的预设关键字进行匹配,确定出第一攻击方向上的目标关键字。
本实施例中,第一攻击方向上的目标关键字为第一攻击方向上的预设关键字中,与恶意文档的关键字相匹配的关键字。
第一攻击方向上可以包括多个预设关键字,将提取的恶意文档的关键字与第一攻击方向上的预设关键字进行匹配,如第一攻击方向上的预设关键字分别
为A、B、C和D,提取的恶意文档的关键字为A和C,这样,提取的恶意文档的关5键字为A和C与第一攻击方向上的预设关键字分别为A、B、C和D中的A和C匹配,
其中第一攻击方向上的预设关键字A和C为第一攻击方向上的目标关键字。
S102b、根据预设规则及目标关键字的权重值,确定恶意文档的关键字的比重值。
本实施例中,第一攻击方向上的预设关键字A和C分别具有权重值,由于从0恶意文档中提取的关键字A和C与第一攻击方向上的预设关键字A和C匹配,这样,
可以将第一攻击方向上的预设关键字A和C的权重值,对应地确定为从恶意文档中提取的关键字A和C的权重值。
再根据预设规则,可以根据恶意文档的关键字A和C的权重值,确定恶意文档的关键字的比重值。
5为了简化计算,在一些例子中,恶意文档的关键字及目标关键字,分别为一个或多个。
恶意文档的关键字可以为一个,目标关键字可以为一个;恶意文档的关键字可以为多个,目标关键字可以为多个。
本实施例中的根据预设规则及目标关键字的权重值,确定恶意文档的关键0字的比重值(S102b),可以包括:
A、提取目标关键字的权重值,将目标关键字的权重值或者各目标关键字的权重值之和,作为恶意文档的关键字的比重值。
在恶意文档的关键字为一个、目标关键字为一个的情况下,将提权的目标关键字的权重值,作为恶意文档的关键字的比重值。
5在恶意文档的关键字为多个、目标关键字为多个的情况下,将提权的目标关键字的权重值之和,作为恶意文档的关键字的比重值,即直接将目标关键字的权重值相加,得到的和作为恶意文档的关键字的比重值。
为了使计算结果更加准确,在一些例子中,提取目标关键字的权重值,对目标关键字的权重值加权之后的值或者各目标关键字的权重值加权之后相加的和值,作为恶意文档的关键字的比重值。
在恶意文档的关键字为一个、目标关键字为一个的情况下,将提取的目标关键字的权重值与预设的加权值加权,将得到的值作为恶意文档的关键字的比重值。
在恶意文档的关键字为多个、目标关键字为多个的情况下,将各目标关键字的权重值分别加权,之后再相加得到的和值,作为恶意文档的关键字的比重值。
在一些例子中,将恶意文档的关键字,与第一攻击方向上的预设关键字进行匹配,可以包括:
B、将恶意文档的关键字,与预设识别库中第一攻击方向上的关键字进行匹配。
本实施例中,预设识别库包括各攻击方向、各攻击方向的关键字、各攻击方向的关键字的权重以及各攻击方向的攻击阈值,这样,可以通过预设识别库匹配关键字,再根据关键字的比重值和攻击方向的攻击阈值,确定恶意文档的攻击方向。
在一些例子中,预设识别库可以根据如下步骤确定:
S105、获取已知攻击方向下的恶意文档,并提取已知攻击方向下的恶意文档的关键字。
对已知攻击方向的恶意文档进行关键字内容提取,包括但不限于pdf内容提取、office内容提取。
S106、根据各已知攻击方向下的恶意文档的关键字,在各已知攻击方向的重要程度,确定各已知攻击方向下的恶意文档的关键字的权重值。
根据关键字在攻击方向的重要程度进行统计分析,计算出关键字的权重值,具体地,对于某已知行业如教育行业,教育行业下包括数量为N的恶意文档,如word文档,从这些恶意文档中提取与教育行业相关的关键字,如***、教师、学生等等关键字,关键字的权重的计算过程如下:以“***”这个关键字为例,“***”在N个恶意文档中出现的次数为100次,那么可以计算出这个关键字在N个恶意文档中出现的概率即p1=100/N,可以以该概率作为该关键字在教育行业的权重值;也可以通过关键字在不同威胁等级上出现的概率确定关键字的权重,如将N个恶意文档按照威胁程度分类,如威胁程度分为五级,分到第一级的恶意文档的数量为1000个,在该级中“***”出现50次,则“***”在该级中的概率为p2=50/1000,依此可以计算“***”在其他等级中出现的概率,如在第三级中出席的概率为p3,那么关键字“***”的概率为p4=p2*1+p3*3。
为了从不同维度考虑关键字的重要程度,可以进一步地将上述两种计算方法相结合,确定关键字的权重值,仍然以“***”这个关键字为例,“***”的权重值为w=p1*p4。
S107、根据各已知攻击方向下的恶意文档的关键字的权重值,确定各已知攻击方向的攻击阈值。
以其中一个攻击方向为例,计算该攻击方向上的各个关键字的权重值的平均值,以该平均值为该攻击方向的攻击阈值。
S108、根据各已知攻击方向、各已知攻击方向下的恶意文档的关键字、各已知攻击方向下的恶意文档的关键字的权重值以及各已知攻击方向的攻击阈值,确定预设识别库。
根据步骤S105-S107的结果,确定预设识别库,使得预设识别库包括各攻击方向、各攻击方向的关键字、各攻击方向的关键字的权重以及各攻击方向的攻击阈值,为确定恶意文档的攻击方向提供技术准备。
在一些例子中,攻击方向可以包括:行业类别或实体类型。
行业类别可分为电信、银行、交通、水力等等类别。实体类型包括事业单位、企业单位、国家机关单位等等类型。
也就是说,本申请实施例的确定恶意文档攻击方向的方法,可以应用在以上各个攻击方向上,以发现不同攻击方向上的潜在的威胁。具体可应用在以下场景中:
参见图2,以某司法部门遭受钓鱼网络攻击为例,黑客攻击过程如下:
第1步:通过利用钓鱼邮件的方式,向司法***的工作人员发送office恶意文档附件。
第2步:司法人员打开表面正常的office文档。
第3步:office恶意文档通过宏代码向***释放恶意代码,执行恶意代码5建立后门,搜集***信息。
第4步:搜集完***信息后,通过远程连接窃走搜集的敏感数据,完成窃密目的,并通过后门持续进行***监控。
通过提取关键字内容、构建领域关键字识别库(预设识别库),使用多模匹配判定算法(以上实施例中的确定恶意文档攻击方向的方法),发现司法***中0潜在的威胁。
下面以一具体实施例,对本申请的方案进行详细说明。
参见图3,本实施例的确定恶意文档攻击方向的方法,可以包括:
S01:搜集已知恶意文档样本;
搜集已知家族、攻击领域恶意复合文档样本,为关键字提取做好准备。
5S02:恶意文档样本预处理;
针对搜集的恶意文档进行格式识别、解包、脱壳、拆分等预处理操作,提取出文档的攻击领域、判定结果、病毒名、核心行为等知识信息并形成不同领域的恶意文档集合。
S03:恶意文档样本关键字内容提取,构建关键字识别库;
0基于已知领域的恶意文档集合进行关键字内容提取,包括但不限于pdf内容提取、office内容提取等。然后根据提取的内容生成关键字识别库,并根据关键字在行业领域的代表程度进行统计分析,计算出关键字的权重值。最后根据概率统计分析得出不同领域关键字库的阈值,为多模匹配判定奠定基础。
S04:对输入的恶意文档预处理;
针对输入的检测文档进行预处理操作,生成预处理后的可操作文档。
S05:恶意文档的关键字提取;
针对预处理过的检测文档,根据不同文件格式,进行pdf或者office等文档关键字提取。
S06:多模匹配判定检测。
基于关键字识别库以及对输入的恶意文档提取分类的关键字,在识别库中获取关键字对应的权值。然后对关键字进行加权计算得出比重值。最后与领域关键字库阈值进行比较,如果大于等于阈值,则判定恶意文档是针对该领域的攻击。
本实施例的方法,能够针对恶意文档进行关键字有效提取,进而通过构建的关键字识别库进行有效检测,而不是仅仅依赖已知规则,并且能够有效地检出恶意威胁所针对的领域,有效发现不同领域网络环境中潜在的威胁,弥补了传统检测方法不能检出威胁攻击领域的不足。
本实施例,通过提取恶意文档的关键字,根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值,将比重值与第一攻击方向的攻击阈值进行比较,如果比重值大于或等于第一攻击方向的攻击阈值,则可以确定第一攻击方向为恶意文档所针对的攻击方向,通过本实施例的方法的实施,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。在提取恶意文档的关键字时,可以对恶意文档进行预处理,再对预处理后的恶意文档进行关键字提取,可提升恶意文档的关键字提取效率。为了方便确定恶意文档中关键字在第一攻击方向上的比重值,将恶意文档的关键字,与第一攻击方向上的预设关键字进行匹配,确定出第一攻击方向上的目标关键字,根据预设规则及目标关键字的权重值,确定恶意文档的关键字的比重值,在具体确定关键字比重时,可以提取目标关键字的权重值,将目标关键字的权重值或者各目标关键字的权重值之和,作为恶意文档的关键字的比重值,还可以对目标关键字的权重值加权之后的值或者各目标关键字的权重值加权之后相加的和值,作为恶意文档的关键字的比重值。在将恶意文档的关键字,与第一攻击方向上的预设关键字进行匹配时,可以将恶意文档的关键字,与预设识别库中第一攻击方向上的关键字进行匹配,预设识别库可以根据获取已知攻击方向下的恶意文档,并提取已知攻击方向下的恶意文档的关键字,根据各已知攻击方向下的恶意文档的关键字,在各已知攻击方向的重要程度,确定各已知攻击方向下的恶意文档的关键字的权重值,再设定各已知攻击方向的攻击阈值,根据各已知攻击方向、各已知攻击方向下的恶意文档的关键字、各已知攻击方向下的恶意文档的关键字的权重值以及各已知攻击方向的攻击阈值,确定预设识别库,此外,本申请实施例中的攻击方向可以包括行业类别或实体类型。
本申请一实施例提供的确定恶意文档攻击方向的装置,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
图4为本申请一实施例提供的确定恶意文档攻击方向的装置的结构示意图,如图4所示,本实施例的确定恶意文档攻击方向的装置,包括:提取模块11,用于提取恶意文档的关键字;计算模块12,用于根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;比较模块13,用于将所述比重值与所述第一攻击方向的攻击阈值进行比较;确定模块14,用于如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,通过提取恶意文档的关键字,根据预设规则,计算恶意文档中关键字在第一攻击方向上的比重值,将比重值与第一攻击方向的攻击阈值进行比较,如果比重值大于或等于第一攻击方向的攻击阈值,则可以确定第一攻击方向为恶意文档所针对的攻击方向,通过本实施例的方法的实施,能够确定恶意文档所攻击的行业方向,为有效揭示行业网络环境恶意行为提供了检测能力。
作为一可选实施方式,所述提取模块,具体用于:对所述恶意文档进行预处理;对预处理后的恶意文档进行关键字提取,得到所述恶意文档的关键字。
作为一可选实施方式,所述计算模块,包括:第一确定子模块,用于将所述恶意文档的关键字,与所述第一攻击方向上的预设关键字进行匹配,确定出所述第一攻击方向上的目标关键字;其中,所述第一攻击方向上的目标关键字为所述第一攻击方向上的预设关键字中,与所述恶意文档的关键字相匹配的关键字;第二确定子模块,用于根据预设规则及所述目标关键字的权重值,确定所述恶意文档的关键字的比重值。
作为一可选实施方式,所述恶意文档的关键字及所述目标关键字,分别为一个或多个;所述第二确定子模块,具体用于:提取所述目标关键字的权重值,将所述目标关键字的权重值或者各目标关键字的权重值之和,作为所述恶意文档的关键字的比重值;或者,提取所述目标关键字的权重值,对所述目标关键字的权重值加权之后的值或者各目标关键字的权重值加权之后相加的和值,作为所述恶意文档的关键字的比重值。
作为一可选实施方式,所述第一确定子模块,具体用于:将所述恶意文档的关键字,与预设识别库中第一攻击方向上的关键字进行匹配;其中,所述预设识别库包括各攻击方向、各攻击方向的关键字、各攻击方向的关键字的权重以及各攻击方向的攻击阈值。
作为一可选实施方式,所述装置具体还用于:获取已知攻击方向下的恶意文档,并提取已知攻击方向下的恶意文档的关键字;根据各已知攻击方向下的恶意文档的关键字,在各已知攻击方向的重要程度,确定各已知攻击方向下的恶意文档的关键字的权重值;根据各已知攻击方向下的恶意文档的关键字的权重值,确定各已知攻击方向的攻击阈值;根据各已知攻击方向、各已知攻击方向下的恶意文档的关键字、各已知攻击方向下的恶意文档的关键字的权重值以及各已知攻击方向的攻击阈值,确定所述预设识别库。
作为一可选实施方式,所述攻击方向包括:行业类别或实体类型。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本申请一实施例提供的电子设备的结构示意图,如图5所示,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种确定恶意文档攻击方向的方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种确定恶意文档攻击方向的方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种确定恶意文档攻击方向的方法,其特征在于,包括:
提取恶意文档的关键字;
根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;
将所述比重值与所述第一攻击方向的攻击阈值进行比较;
如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。
2.根据权利要求1所述的方法,其特征在于,所述提取恶意文档的关键字包括:
对所述恶意文档进行预处理;
对预处理后的恶意文档进行关键字提取,得到所述恶意文档的关键字。
3.根据权利要求1所述的方法,其特征在于,所述根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值,包括:
将所述恶意文档的关键字,与所述第一攻击方向上的预设关键字进行匹配,确定出所述第一攻击方向上的目标关键字;其中,所述第一攻击方向上的目标关键字为所述第一攻击方向上的预设关键字中,与所述恶意文档的关键字相匹配的关键字;
根据预设规则及所述目标关键字的权重值,确定所述恶意文档的关键字的比重值。
4.根据权利要求3所述的方法,其特征在于,所述恶意文档的关键字及所述目标关键字,分别为一个或多个;
所述根据预设规则及所述目标关键字的权重值,确定所述恶意文档的关键字的比重值,包括:
提取所述目标关键字的权重值,将所述目标关键字的权重值或者各目标关键字的权重值之和,作为所述恶意文档的关键字的比重值;或者,
提取所述目标关键字的权重值,对所述目标关键字的权重值加权之后的值或者各目标关键字的权重值加权之后相加的和值,作为所述恶意文档的关键字的比重值。
5.根据权利要求3所述的方法,其特征在于,所述将所述恶意文档的关键字,与所述第一攻击方向上的预设关键字进行匹配,包括:
将所述恶意文档的关键字,与预设识别库中第一攻击方向上的关键字进行匹配;其中,所述预设识别库包括各攻击方向、各攻击方向的关键字、各攻击方向的关键字的权重以及各攻击方向的攻击阈值。
6.根据权利要求5所述的方法,其特征在于,所述预设识别库根据如下步骤确定:
获取已知攻击方向下的恶意文档,并提取已知攻击方向下的恶意文档的关键字;
根据各已知攻击方向下的恶意文档的关键字,在各已知攻击方向的重要程度,确定各已知攻击方向下的恶意文档的关键字的权重值;
根据各已知攻击方向下的恶意文档的关键字的权重值,确定各已知攻击方向的攻击阈值;
根据各已知攻击方向、各已知攻击方向下的恶意文档的关键字、各已知攻击方向下的恶意文档的关键字的权重值以及各已知攻击方向的攻击阈值,确定所述预设识别库。
7.根据权利要求1所述的方法,其特征在于,所述攻击方向包括:行业类别或实体类型。
8.一种确定恶意文档攻击方向的装置,其特征在于,包括:
提取模块,用于提取恶意文档的关键字;
计算模块,用于根据预设规则,计算所述恶意文档中关键字在第一攻击方向上的比重值;
比较模块,用于将所述比重值与所述第一攻击方向的攻击阈值进行比较;
确定模块,用于如果所述比重值大于或等于所述第一攻击方向的攻击阈值,则确定所述第一攻击方向为所述恶意文档所针对的攻击方向。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-7任一项所述的确定恶意文档攻击方向的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-7任一项所述的确定恶意文档攻击方向的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211537386.0A CN116015727A (zh) | 2022-12-02 | 2022-12-02 | 一种确定恶意文档攻击方向的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211537386.0A CN116015727A (zh) | 2022-12-02 | 2022-12-02 | 一种确定恶意文档攻击方向的方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015727A true CN116015727A (zh) | 2023-04-25 |
Family
ID=86036195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211537386.0A Pending CN116015727A (zh) | 2022-12-02 | 2022-12-02 | 一种确定恶意文档攻击方向的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015727A (zh) |
-
2022
- 2022-12-02 CN CN202211537386.0A patent/CN116015727A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| Azeez et al. | Identifying phishing attacks in communication networks using URL consistency features | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
| CN115174250B (zh) | 网络资产安全评估方法、装置、电子设备及存储介质 | |
| CN113297840A (zh) | 恶意流量账号检测方法、装置、设备和存储介质 | |
| Kumar et al. | Mlspd-machine learning based spam and phishing detection | |
| CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
| Queiroz et al. | Eavesdropping hackers: Detecting software vulnerability communication on social media using text mining | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| Zhou et al. | Phishing Sites Detection from a Web Developer's Perspective Using Machine Learning. | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN114528552B (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
| CN114338109B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 | |
| CN115935358A (zh) | 一种恶意软件识别方法、装置、电子设备及存储介质 | |
| CN116015727A (zh) | 一种确定恶意文档攻击方向的方法、装置及电子设备 | |
| CN114417883B (zh) | 一种数据处理方法、装置及设备 | |
| Noh et al. | Phishing Website Detection Using Random Forest and Support Vector Machine: A Comparison | |
| CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
| CN109214212A (zh) | 信息防泄露方法及装置 | |
| Garje et al. | Detecting phishing websites using machine learning | |
| CN115935349A (zh) | 样本文件的安全漏洞检测方法、装置、电子设备及存储介质 | |
| Muhindi | Detection of Visual Similarity Snooping Attacks in Emails using an Extended Client Based Technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |