申请/专利权人：安天科技集团股份有限公司

申请日：2017-12-29

公开（公告）日：2022-01-07

公开（公告）号：CN108171014B

主分类号：G06F21/10(20130101)

分类号：G06F21/10(20130101)

优先权：

专利状态码：有效-授权

法律状态：2022.01.07#授权;2018.07.13#实质审查的生效;2018.06.15#公开

摘要：本发明提出一种RTF可疑文件的检测方法、系统及存储介质，所述方法包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。通过本发明的方法，能够有效识别在RTF中进行混淆的文件，解决现有依据特征进行检测的技术中，由于特征被混杂文件打乱而无法检测的问题。

主权项：1.一种RTF可疑文件的检测方法，其特征在于，包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。

全文数据：一种RTF可疑文件的检测方法、系统及存储介质技术领域[0001]本发明涉及网络安全技术领域，特别涉及一种RTF可疑文件的检测方法、系统及存储介质。背景技术[0002]RTF文件为多信息文本格式（RTF，是一种方便于不同的设备、系统查看的文本和图形文档格式。[0003]常规的RTF可疑文件检测方式，通过提取shellc〇de是指能完成特殊任务的自包含的二进制代码，根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell。）等恶意特征来进行检测，全文匹配特定的特征来确认文件是否为可疑文件。但是全文匹配恶意特征只能检测符合特征的RTF可疑文件。[0004]由于RTF文件的多变性，在特定数据段嵌入冗余数据进行混淆，将在不影响RTF文件解析的情况下使可匹配的特征被分割导致无法匹配到，逃避检测。导致了对RTF可疑文件的检测出现困难。发明内容[0005]基于上述问题，本发明提出了一种RTF可疑文件的检测方法、系统及存储介质。能够通过对RTF文件中嵌入文件的混淆进行识别来检测可疑文件。[0006]本发明通过如下方法实现：一种RTF可疑文件的检测方法，包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。[0007]所述的方法中，所述获取RTF文件中objdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。[0008]一种RTF可疑文件的检测系统，包括：获取模块，获取RTF文件中objdata数据段；搜索模块，搜索objdata数据段中是否同时存在16进制数据及非16进制数据；数据统计模块，如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。[0009]所述的系统这，所述获取RTF文件中objdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。[0010]本发明还提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的RTF可疑文件的检测方法。[0011]大部分的RTF恶意文件都在objdata的数据段中存放有嵌入文件的16进制数据存储，正常情况下在objdata的数据段中存放的嵌入文件数据应该是16进制数据，如果检测到出现大量重复的非16进制数据混杂在16进制数据中，则可以认为该文件进行了混淆。本发明利用这一原理进行RTF文件的检测。相比于现有技术，本发明能够缩小搜索的范围提高搜索效率，相比传统的全文匹配恶意特征该发明只需要对RTF格式文件中objdata标签的数据段进行检测。混淆的方式很有多种，但是对于RTF的objdata数据中的混淆因为该数据段的特殊性，所以可以很快的判断出该段数据是否进行过混淆。附图说明[0012]为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0013]图1为本发明一种RTF可疑文件的检测方法实施例流程图；图2为本发明一种RTF可疑文件的检测系统结构示意图。具体实施方式[0014]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。[0015]本发明提出了一种RTF可疑文件的检测方法、系统及存储介质。能够通过对RTF文件中嵌入文件的混淆程度进行识别来检测可疑文件。[0016]大部分的RTF恶意文件都在objdata的数据段中存放有嵌入文件的16进制数据存储，这是因为在RTF文件的objdata数据段中存放大量的非16进制数据混杂16进制数据，RTF文件在被解析时会跳过或转换这些数据，并不会影响RTF文件被解析。但是在检测RTF文件时这些互相混杂的数据将会影响检测的结果，导致本应被检测匹配的特征因变得破碎而无法被检测到。例如在一个RTF文件中嵌入一个恶意的可执行文件，如果对于objdata的数据中嵌入大量重复的非16进制数据，则会导致普通的检测方式难以检测到该恶意的可执行文件。即使提取了可执行文件的相应特征，也因为包含可执行文件的数据段中存在大量的冗余数据无法匹配特征。[0017]因此本发明提出一种RTF可疑文件的检测方法实施例，如图1所示，包括：S101:获取RTF文件中objdata数据段；S102:搜索objdata数据段中是否同时存在16进制数据及非16进制数据，即16进制数据和非16进制数据混杂;如果存在，则执行S103;S103:进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，艮PRTF文件正常。[0018]所述的方法中，所述获取RTF文件中objdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据objdata标签中存放的数据即为RTF文件中嵌入文件的数据存放位置；而此检测方式则会因为该恶意文件的objdata数据段中包含大量的非I6进制数据而判定该文件为经过混淆的可疑文件从而检出。[0019]—种RTF可疑文件的检测系统，如图2所示，包括：获取模块201，获取RTF文件中objdata数据段；搜索模块202,搜索objdata数据段中是否同时存在16进制数据及非16进制数据；数据统计模块203，如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述〇bjdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，g卩RTF文件正常。[0020]所述的系统这，所述获取RTF文件中objdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。[0021]本发明还提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的RTF可疑文件的检测方法。[0022]正常情况下在objdata的数据段中存放的嵌入文件数据应该是16进制数据，如果检测到出现大量重复的非16进制数据混杂在16进制数据中，则可以认为该文件进行了混淆。混淆的方式很有多种，但是对于RTF的objdata数据中的混淆因为该数据段的特殊性，所以可以很快的判断出该段数据是否进行过混淆。本发明利用这一原理进行RTF文件的检测。相比于现有技术，本发明的检测方法不会因为特定的特征而局限于只检测符合特征的可疑文件，任何对RTF文件的objdata数据段进行过混淆的不正常行为均可以被检测出来。本发明能够缩小搜索的范围提高搜索效率，相比传统的全文匹配恶意特征，本发明只需要对RTF格式文件中objdata标签的数据段进行检测。[0023]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。[0024]虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

权利要求：1.一•种RTF可疑文件的检测方法，其特征在于，包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在〇bjdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述〇bjdata数据段未被混靖，即RTF文件正常。2.如权利要求1所述的方法，其特征在于，所述获取RTF文件中〇bjdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为〇bjdata数据段。3.—种RTF可疑文件的检测系统，其特征在于，包括：获取模块，获取RTF文件中objdata数据段；搜索模块，搜索objdata数据段中是否同时存在16进制数据及非16进制数据；数据统计模块，如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，S卩RTF文件正常。4.如权利要求3所述的系统，其特征在于，所述获取RTF文件中objdata数据段，具体为：在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。5.—种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-2中任一所述的RTF可疑文件的检测方法。

百度查询： 安天科技集团股份有限公司 一种RTF可疑文件的检测方法、系统及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD