一種基于擴展名和文件格式一致性的安全判別方法和裝置制造方法
【專利摘要】本發明公開了一種基于擴展名和文件格式一致性的安全判別方法和裝置,所述方法包括:獲取待檢測對象文件的擴展名格式;提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄待檢測對象的實際格式;將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。本發明克服了傳統反病毒軟件無法對利用修改擴展名躲避檢測的缺點,創新性的提出了根據文件擴展名和文件格式一致性來判定文件安全性的方法,有效的解決了修改擴展名一類的安全威脅,提高了反病毒軟件的檢出率。
【專利說明】一種基于擴展名和文件格式一致性的安全判別方法和裝置
【技術領域】
[0001]本發明涉及計算機安全【技術領域】,尤其涉及一種使用文件擴展名和文件格式的一致性來判斷文件安全性的方法和裝置。
【背景技術】
[0002]當前惡意軟件正呈現出大規模增長的趨勢,惡意軟件采用各種技術復雜度較高的手段來躲避反病毒軟件的檢測,導致反病毒軟件對惡意軟件的檢出率下降。其中有大量利用修改文件擴展名來躲避反病毒軟件檢測的技術手段,下面舉例來說明。
[0003]例1:病毒下載了擴展名為DAT的文件,實際卻是VBS可執行格式,病毒下載后會對其加載執行,但反病毒軟件不做文件格式判定,會認為下載DAT格式文件是安全的,從而躲避反病毒軟件的檢測。
[0004]例2 =MVB文件格式是可以溢出的格式,WMV是不可以溢出的格式,一個MVB文件使用了 WMV擴展名,用戶會認為WMV擴展名的文件是安全的,但是實際使用該文件時就會觸發漏洞,對用戶造成損失。
【發明內容】
[0005]基于以上兩個例子所描述的情況,就需要有一種方法來檢測利用擴展名躲避反病毒檢測的惡意軟件。
[0006]首先獲取待檢測對象的擴展名。
[0007]通過文件格庫,判斷待檢測對象的文件格式,即該檢測對象的真實文件格式。所述文件格式庫,用于保存文件格式以及對應的文件格式特征;
通過可執行和溢出知識庫判斷待檢測對象是否屬于可執行或有潛在溢出可能的格式判斷。即判斷真實文件格式是否存在于可執行和溢出知識庫中。所述可執行和溢出知識庫,用于保存可執行和/可溢出的文件格式;
如果匹配成功,對獲取的擴展名和可執行或溢出格式做一致性判斷。
[0008]如果待檢測對象的擴展名和文件格式不一致,則表明當前文件存在威脅,如果一致則結束檢測。
[0009]本發明還提供了一種基于擴展名和文件格式一致性的安全判別裝置,基于擴展名和文件格式一致性的安全判別裝置,其特征在于,包括:
文件格式庫,用于保存文件格式以及對應的文件格式特征;
可執行和溢出知識庫,用于保存可執行和/可溢出的文件格式;
讀取模塊,用于獲取待檢測對象文件的擴展名格式;
格式模塊,用于提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄記錄所匹配成功的特征在所述文件格式庫中對應的文件格式為待檢測對象的實際格式;
判定模塊,用于將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。包括:
文件格式庫,用于保存文件格式以及對應的文件格式特征;
可執行和溢出知識庫,用于保存可執行和/可溢出的文件格式;
讀取模塊,用于獲取待檢測對象文件的擴展名格式;
格式模塊,用于提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄記錄所匹配成功的特征在所述文件格式庫中對應的文件格式為待檢測對象的實際格式;
判定模塊,用于將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。
[0010]本發明的有益效果是:
本發明克服了傳統反病毒軟件無法對利用修改擴展名躲避檢測的缺點,創新性的提出了根據文件擴展名和文件格式一致性來判定文件安全性的方法,有效的解決了修改擴展名一類的安全威脅,提高了反病毒軟件的檢出率。
【專利附圖】
【附圖說明】
[0011]為了更清楚地說明 本發明或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明中記載的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
[0012]圖1為本發明基于擴展名和文件格式一致性的安全判別方法實施例流程圖;
圖2為本發明基于擴展名和文件格式一致性的安全判別裝置結構示意圖。
【具體實施方式】
[0013]為了使本【技術領域】的人員更好地理解本發明實施例中的技術方案,并使本發明的上述目的、特征和優點能夠更加明顯易懂,下面結合附圖對本發明中技術方案作進一步詳細的說明。
[0014]如圖1所示,本發明的方法實施例,包括:
SlOl 開始檢測。
[0015]S102 獲取待檢測對象的擴展名。
[0016]S103提取待檢測對象文件中的特征,通過文件格庫,與文件格式庫中的特征進行匹配,判斷待檢測對象的文件格式。
[0017]S104將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,通過可執行和溢出知識庫判斷待檢測對象是否屬于可執行或有潛在溢出可能的格式判斷。
[0018]S105 匹配成功則跳到S106步,如果失敗則跳回到SlOl步。
[0019]S106對獲取的擴展名和可執行或溢出格式(即實際文件格式)做一致性判斷。[0020]S107 如果待檢測對象的擴展名和實際文件格式不一致,則表明當前文件存在威脅,如果一致則跳到S08步結束檢測。
[0021]S108 結束檢測。
[0022]本發明還公開了一種基于擴展名和文件格式一致性的安全判別裝置,如圖2所示,包括:
文件格式庫101,用于保存文件格式以及對應的文件格式特征;
可執行和溢出知識庫102,用于保存可執行和/可溢出的文件格式;
讀取模塊103,用于獲取待檢測對象文件的擴展名格式;
格式模塊104,用于提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄記錄所匹配成功的特征在所述文件格式庫中對應的文件格式為待檢測對象的實際格式;
判定模塊105,用于將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。
[0023]本說明書中方法的實施例采用并列的方式描述,對于系統實施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
[0024]雖然通過實施例描繪了本發明,本領域普通技術人員知道,本發明有許多變形和變化而不脫離本發明的精神,希望所附的權利要求包括這些變形和變化而不脫離本發明的精神。
【權利要求】
1.一種基于擴展名和文件格式一致性的安全判別方法,其特征在于,包括: 步驟a、獲取待檢測對象文件的擴展名格式; 步驟b、提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄所匹配成功的特征在所述文件格式庫中對應的文件格式為待檢測對象的實際格式; 步驟C、將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。
2.一種基于擴展名和文件格式一致性的安全判別裝置,其特征在于,包括: 文件格式庫,用于保存文件格式以及對應的文件格式特征; 可執行和溢出知識庫,用于保存可執行和/可溢出的文件格式; 讀取模塊,用于獲取待檢測對象文件的擴展名格式; 格式模塊,用于提取待檢測對象文件中的特征,與文件格式庫中的特征進行匹配,如果匹配成功記錄記錄所匹配成功的特征在所述文件格式庫中對應的文件格式為待檢測對象的實際格式; 判定模塊,用于將所述待檢測對象的實際格式與可執行和溢出知識庫中的格式進行比對,如果比對成功,則判斷所述實際格式與擴展名格式是否相同,如果不一致則判定所述待檢測文件存在威脅。
【文檔編號】G06F21/56GK103544437SQ201210577627
【公開日】2014年1月29日 申請日期:2012年12月27日 優先權日:2012年12月27日
【發明者】肖新光, 童志明, 董雷 申請人:哈爾濱安天科技股份有限公司