申请/专利权人:北京中科网威信息技术有限公司
申请日:2020-12-18
公开(公告)日:2022-12-02
公开(公告)号:CN112613034B
主分类号:G06F21/56
分类号:G06F21/56;G06F21/57
优先权:
专利状态码:有效-授权
法律状态:2022.12.02#授权;2021.04.23#实质审查的生效;2021.04.06#公开
摘要:本发明提供一种恶意文档检测方法及系统、电子设备及存储介质,包括:对目标文档进行反混淆处理,得到所述目标文档的反混淆数据;在所述反混淆数据中查找是否存在预设特征串;若存在预设特征串,则确定所述目标文档中存在恶意执行代码。本发明针对恶意文档中存在的shellcode代码不能太长的特点,混淆变换也就无法实现太复杂的运算,因此运用该发明技术的入侵检测系统可应对不断变化表现形式的恶意文档,能够检测出经过混淆变化的未知恶意文档,从而解决行业所面临的网络安全威胁问题,避免出现未知恶意文档给用户带来的威胁。
主权项:1.一种恶意文档检测方法,其特征在于,包括:采用目标文档中每相邻两个字节互相做异或处理,得到所述目标文档的第一反混淆数据;在所述第一反混淆数据中查找是否存在预设特征串;若存在预设特征串,则确定所述目标文档中存在恶意执行代码;若不存在预设特征串,则在预设区域确定的特征值符合逐个递增规律,基于每相邻两个字节的递增值进行第二反混淆处理,得到所述目标文档的第二反混淆数据;在所述第二反混淆数据中查找是否存在预设特征串;若存在预设特征串,则确定所述目标文档中存在恶意执行代码;若不存在预设特征串,则在预设区域确定的特征值符合逐个递减规律,基于每相邻两个字节的递减值进行第三反混淆处理,得到所述目标文档的第三反混淆数据;在所述第三反混淆数据中查找是否存在预设特征串;若存在预设特征串,则确定所述目标文档中存在恶意执行代码。
全文数据:
权利要求:
百度查询: 北京中科网威信息技术有限公司 恶意文档检测方法及系统、电子设备及存储介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。