【技术实现步骤摘要】
本专利技术涉及压缩包检测与防御,具体涉及一种基于内嵌相似文件名的压缩包安全检测方法及装置。
技术介绍
1、压缩包炸弹的英文为arc.bomb,是一款压缩包病毒,通常只有几百kb,但是解压后会变成上百mb/tb的庞然大物。当前,压缩包安全检测效率与效果并不高。检测压缩包炸弹的基本原理是根据解压释放后的文件大小与原始压缩大小进行比较。但是如果黑客通过工具构造几个压缩率较大文件,同时将相同文件重命名形成多个相同内容的文件再进行二次压缩,重复上述工作,最后形成的文件如果全部解压释放则会需要大量的内存和磁盘资源,甚至会超出磁盘资源数量,形成真正的压缩包炸弹。如果反病毒引擎对这样的文件进行逐个文件解压释放,根据现有的检测策略,不仅造成消耗大量系统资源,同时也可能会造成检测超时导致不报告恶意样本为压缩包炸弹,导致检测失效。
技术实现思路
1、鉴于上述问题,本专利技术提供一种基于内嵌相似文件名的压缩包安全检测方法及装置,以加快检测时效的同时减少系统资源的占用。
2、根据本专利技术的一个方面,提供了一种基于内嵌相似文件名的压缩包安全检测方法,包括:
3、对待检测压缩包的各层子目录执行深度优先遍历,获取所述各层子目录中的子文件名称,得到文件名称集合;
4、对所述文件名称集合中的文件名称进行相似度检测,得到文件名称相似的相似文件名数;
5、判断所述相似文件名数是否超过第一阈值,若超过所述第一阈值,则将相似文件名组数值进行累加;
6、判断所述相似
7、在一种可选的方式中,对所述文件名称集合中的文件名称进行相似度检测进一步包括:
8、根据分隔符将所述文件名称集合中的文件名称分割为令牌,得到令牌集合;
9、根据所述令牌集合动态构建倒排索引,其中,所述倒排索引中的每个令牌对应包含该令牌的文件名称列表;
10、对于每个文件名,查找其令牌在所述倒排索引中对应的文件名列表,通过计算该文件名共享令牌的比例或数量确定相似度。
11、在一种可选的方式中,对所述文件名称集合中的文件名称进行相似度检测之前,所述方法还包括:
12、判断所述压缩包内相似文件的个数,如果超过预设比值,则判断为包裹炸弹
13、在一种可选的方式中,对所述文件名称集合中的文件名称进行相似度检测之前,所述方法还包括:
14、根据所述待检测压缩包的大小、各层子目录的压缩比例、各层子目录的文件数量、各层子目录的平均文件名长度,动态调整所述第一阈值和所述第二阈值。
15、在一种可选的方式中,所述第一阈值的调整公式为:
16、
17、其中,为目录的层数或预设层数;为第i层子目录中的文件数量;为第i层子目录中的平均文件名长度;为第i层子目录中的平均或最大压缩比例;为压缩包的大小;和为常数因子;
18、所述第二阈值的调整公式为:
19、
20、其中,为目录的层数或预设层数;为第i层子目录中的文件数量;为第i层子目录中的平均或最大压缩比例;为压缩包的大小;和为常数因子,为常数因子。
21、在一种可选的方式中,在所述相似文件名数超过第一阈值之后,所述方法还包括:
22、检测各个所述相似文件的文件压缩比;
23、若其中一个所述文件压缩比超过第三阈值,则判定所述待检测压缩包为包裹炸弹,退出检测;
24、或者,
25、检测各个所述相似文件,得到相似的文件组总数;
26、若所述文件组总数超过第三阈值,则判定所述待检测压缩包为包裹炸弹,退出检测。
27、在一种可选的方式中,判定所述待检测压缩包为包裹炸弹之后,所述方法还包括:
28、将判定为包裹炸弹的压缩包的关键特征加入黑名单数据库;其中,所述关键特征包括相似文件名、文件压缩比及对应的异常文件类型。
29、在一种可选的方式中,在所述待检测压缩包的遍历过程中,所述方法还包括:
30、在所述待检测压缩包的遍历过程中,实时监测系统资源的变化情况;其中,所述系统资源包括cpu使用率、内存占用率以及磁盘i/o;
31、分析所述系统资源的变化情况,得到异常资源消耗阈值;
32、若所述异常资源消耗阈值超过第四阈值,则暂停所述待检测压缩包的遍历,判定为可能为包裹炸弹,并提醒用户是否继续进行解压操作。
33、在一种可选的方式中,对待检测压缩包的各层子目录执行深度优先遍历的同时,所述方法还包括:
34、通过钩子函数监控用户在当前会话或应用中的敏感操作行为;其中,所述敏感操作行为包括支付、密码输入以及信息输入行为;
35、将所述敏感操作行为与所述待检测压缩包的遍历操作进行关联,得到关联时间和关联行为;
36、根据所述关联时间和关联行为动态调整所述第一阈值和第二阈值。
37、在一种可选的方式中,所述钩子函数包括键盘钩子和外壳钩子,以捕获用户当前的键盘输入模式和应用窗口信息;其中,所述应用窗口信息包括应用程序名称和窗口标题;
38、通过钩子函数监控用户在当前会话或应用中的敏感操作行为进一步包括:
39、通过分析所述键盘输入模式和应用窗口信息,得到用户在当前会话或应用中的敏感操作行为。
40、根据本专利技术的另一方面,提供了一种基于内嵌相似文件名的压缩包安全检测装置,包括:
41、深度遍历模块,用于对待检测压缩包的各层子目录执行深度优先遍历,获取所述各层子目录中的子文件名称,得到文件名称集合;
42、相似度检测模块,用于对所述文件名称集合中的文件名称进行相似度检测,得到文件名称相似的相似文件名数;
43、第一判断模块,用于判断所述相似文件名数是否超过第一阈值,若超过所述第一阈值,则将相似文件名组数值进行累加;
44、第二判断模块,用于判断所述相似文件名组数值是否超过第二阈值,若未超过所述第二阈值,则继续对所述待检测压缩包执行深度优先遍历;若超过所述第二阈值,则判定所述待检测压缩包为包裹炸弹,退出检测。
45、本专利技术实施例还提供一种电子设备,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序代码,所述一个或者多个处理器读取存储器中存储的可执行程序代码,运行与可执行程序代码对应的程序,以用于执行前述任一实施方式所述的基于内嵌相似文件名的压缩包安全检测方法。
46、根据本专利技术提供的方案,对待检测压缩包的各层子目录执行深度优先遍历,获取所述各层子目录中的子文件名称,得到文件名称集合;对所述文件名称集合中的文件名称进行相似度检测,得到文件名称相似的相似文件名数;判断所述相似文件名数是否超过第一阈值,若超过本文档来自技高网...
【技术保护点】
1.一种基于内嵌相似文件名的压缩包安全检测方法,其特征在于,包括:
2.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,对所述文件名称集合中的文件名称进行相似度检测之前,所述方法还包括:
3.根据权利要求2所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于:
4.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,在所述相似文件名数超过第一阈值之后,所述方法还包括:
5.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,判定所述待检测压缩包为包裹炸弹之后,所述方法还包括:
6.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,在所述待检测压缩包的遍历过程中,所述方法还包括:
7.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,对待检测压缩包的各层子目录执行深度优先遍历的同时,所述方法还包括:
8.根据权利要求7所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,所述钩子函数包
9.一种基于内嵌相似文件名的压缩包安全检测装置,其特征在于,包括:
10.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种基于内嵌相似文件名的压缩包安全检测方法,其特征在于,包括:
2.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,对所述文件名称集合中的文件名称进行相似度检测之前,所述方法还包括:
3.根据权利要求2所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于:
4.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,在所述相似文件名数超过第一阈值之后,所述方法还包括:
5.根据权利要求1所述的基于内嵌相似文件名的压缩包安全检测方法,其特征在于,判定所述待检测压缩包为包裹炸弹之后,所述方法还包括:
6.根据权利...
【专利技术属性】
技术研发人员:薛晨龙,李石磊,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。