本发明涉及信息安全领域,尤其涉及一种样本文件的安全漏洞检测方法、装置、电子设备及存储介质。
背景技术:
1、近年来,具有漏洞的恶意off i ce文档文件常常是攻击者钓鱼攻击的首选,在历次攻击中往往取得极高的攻击效果。这些攻击者中apt组织尤为活跃,通过投递具备0day/1day的恶意off i ce文件,诱导目标打开,实现恶意代码在目标系统中执行,导致计算机被病毒入侵。
技术实现思路
1、有鉴于此,本发明提供一种样本文件的安全漏洞检测方法、装置、电子设备及存储介质,便于实现对嵌入有病毒的恶意off i ce文件进行高效检测。
2、为达到上述发明目的,采用如下技术方案:
3、第一方面,本发明实施例提供一种样本文件的安全漏洞检测方法,包括步骤:获取待检测样本文件,所述待检测样本文件为off i ce文档文件;根据所述off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述offi ce文档文件的特征数据是否异常;若所述特征数据异常,则确定所述off i ce文档文件存在安全漏洞。
4、可选的,所述根据所述off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述off i ce文档文件的格式为cfb格式文件,则对所述cfb格式文件进行解析,提取所述特征数据;所述特征数据包括文件结构,以及文件结构下的目录数据信息;所述根据所述格式的off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述off i ce文档文件的特征数据是否异常包括:将所述文件结构以及文件结构下的目录数据信息,与对应的特征数据标准对比;若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该cfb格式的off i ce文档文件的特征数据异常。
5、可选的,所述若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该cfb格式的off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述文件结构为异常,且所述目录数据的大小超过第一预定大小阈值,则判断该cfb格式的offi ce文档文件的特征数据异常。
6、可选的,所述根据所述off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述off i ce文档文件的格式为openxml格式文件,则对所述openxml格式文件进行解析,提取所述特征数据;所述特征数据包括部件,以及openxml文件哈希值;所述根据所述格式的off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述off i ce文档文件的特征数据是否异常包括:将所述部件以及openxml文件哈希值,与对应的特征数据标准匹配;若所述部件以及openxml文件哈希值与对应的特征数据标准不匹配,则判断该openxml格式的off i ce文档文件的特征数据异常。
7、可选的,所述若所述部件以及openxml文件哈希值与对应的特征数据标准不匹配,则判断该openxml格式的off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述部件存在异常以及openxml文件xml文件存在异常链接或异常数据,且所述部件大小以及异常数据大小超过第二预定大小阈值,则判断该openxml格式的off i ce文档文件的特征数据异常。
8、可选的,所述根据所述off i ce文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:若所述off i ce文档文件的格式为rtf格式文件,则对所述rtf文件格式文件进行解析,提取所述特征数据;所述特征数据包括:字段标识及文本大小;所述根据所述格式的off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述off i ce文档文件的特征数据是否异常包括:将所述字段标识及文本大小,分别与对应的特征数据标准对比;若所述字段标识及文本大小不符合所述特征数据标准,则判断该rtf格式的off i ce文档文件的特征数据异常。
9、可选的,若所述字段标识及文本大小不符合所述特征数据标准,则判断该rtf格式的off i ce文档文件的特征数据异常包括:若根据所述特征数据标准判断所述rtf格式文件的字段标识存在异常,且存在对应的异常文本;判断所述异常文本的大小;若所述异常文本的大小超过第三预定大小阈值,则判断该rtf格式的off i ce文档文件的特征数据异常。
10、第二方面,本发明还实施例提供一种样本文件的安全漏洞检测装置,包括:获取程序单元,用于获取待检测样本文件,所述待检测样本文件为off i ce文档文件;检测规则程序单元,用于根据所述off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;对比程序单元,用于根据所述格式的off i ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述off i ce文档文件的特征数据是否异常;确定程序单元,用于若所述特征数据异常,则确定所述off i ce文档文件存在安全漏洞。
11、第三方面,本发明还实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行第一方面任一所述的方法。
12、第四方面,本发明还实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面任一所述的方法。
13、本发明提供的样本文件的安全漏洞检测方法、装置、电子设备及存储介质,通过步骤:获取待检测样本文件,所述待检测样本文件为off i ce文档文件;根据所述off i ce文档文件的格式,从检测规则库中确定与所述格式对应的文件检测规则;根据所述格式的offi ce文档文件携带的特征数据,与所述文件检测规则中对应的特征数据标准对比,判断所述off i ce文档文件的特征数据是否异常;若所述特征数据异常,则确定所述off i ce文档文件存在安全漏洞。由此便于实现对嵌入有病毒的恶意off i ce文件进行高效检测。
1.一种样本文件的安全漏洞检测方法,其特征在于,包括步骤:
2.如权利要求1所述的方法,其特征在于,所述根据所述office文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:
3.如权利要求2所述的方法,其特征在于,所述若所述文件结构及目录数据信息不符合所述特征数据标准,则判断该cfb格式的office文档文件的特征数据异常包括:
4.如权利要求1所述的方法,其特征在于,所述根据所述office文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:
5.如权利要求4所述的方法,其特征在于,所述若所述部件以及openxml文件哈希值与对应的特征数据标准不匹配,则判断该openxml格式的office文档文件的特征数据异常包括:
6.如权利要求1所述的方法,其特征在于,所述根据所述office文档文件的格式,从文件检测规则库中确定与所述格式对应的检测规则包括:
7.如权利要求6所述的方法,其特征在于,若所述字段标识及文本大小不符合所述特征数据标准,则判断该rtf格式的office文档文件的特征数据异常包括:若根据所述特征数据标准判断所述rtf格式文件的字段标识存在异常,且存在对应的异常文本;
8.一种样本文件的安全漏洞检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至7任一所述的方法。