本技术属于一种可信度量方法,具体涉及一种恶意文档可信度量方法、系统、设备和存储介质。
背景技术:
::1、电子文档(如office、pdf等文档)由于具有便捷高效的优点,在日常生活和工作中被广泛使用,与此同时,电子文档带来的安全问题日益凸显。一方面,相比于pe(portableexecute,pe)类可执行文件,人们往往倾向于认为电子文档是便捷安全的信息交互载体,对文档攻击的网络安全防范意识较弱;另一方面,由于文档处理软件,如adobe reader等功能越来越复杂,代码的复杂性增加了漏洞存在的可能性,不断有新的软件漏洞被爆出,这些都导致恶意文档攻击已经成为网络攻击,特别是高级持续性威胁(advanced persistentthreat,apt)攻击的重要手段。文档越来越多的攻击者将作为攻击传播的入口点,复杂的文档结构和允许文档内嵌其他类型的文件等特性,都增加了恶意文档检测的难度,因此,恶意文档检测已经成为相关领域的关注热点。2、目前,主要采用动静态结合的恶意文档检测方法,具体包括两类:一类是通过动态执行解决文档中恶意代码的混淆问题,再将去混淆后的代码使用静态检测分析方法判定恶意性;第二类是将动态行为特征与静态特征结合起来作为判定文档恶意性的依据,扩大了特征选取的范围。理论上动静态结合的方法比静态检测方法更为有效。但是,动静态结合的方法仍然不能避免动态检测中恶意代码触发成功率低的问题,且还存在资源成本消耗大,速度慢等不足。同时,虽然是在虚拟环境中运行样本,但相比静态检测仍具有更高的风险。技术实现思路1、本技术针对动静态结合的恶意文档检测方法,存在恶意代码触发成功率低,资源成本消耗大,速度慢,相比静态检测风险高的技术问题,提供一种恶意文档可信度量方法、系统、设备和存储介质。2、为了实现上述目的,本技术采用以下技术方案予以实现:3、第一方面,本技术提出一种恶意文档可信度量方法,包括:4、从请求加入可信白名单的请求文档中,提取选择特征,输入至恶意文档静态检测模型,得到静态检测结果;所述恶意文档静态检测模型使用决策树算法;5、所述选择特征的确定方法,包括:6、从请求文档中提取内容特征和结构特征,使用决策树算法中的信息增益率评价内容特征和结构特征在恶意文档分类任务重的重要性,以重要性满足预设要求的特征作为选择特征;7、在请求文档打开时,通过tpcm动态可信度量机制,对请求文档打开进程行为进行监测;并进行进程动态可信验证;8、在请求文档打开时及打开后的操作过程中,对系统调用行为安全性进行验证;9、对请求文档的完整性进行最终度量。10、进一步地,所述从请求文档中提取内容特征和结构特征,包括:11、利用文档解析器提取直接结构特征和部分内容特征;12、在文件内容流上提取能表征数据分布的字节熵特征,作为另一部分内容特征;13、通过提取文档结构的层次路径信息进行建模,将请求文档转换为树状结构,从树状结构中提取间接逻辑结构特征,作为间接结构特征;14、所述直接结构特征和间接结构特征组成结构特征,所述部分内容特征和另一部分内容特征组成内容特征。15、进一步地,所述通过tpcm动态可信度量机制,对请求文档打开进程行为进行监测,包括:16、从tpcm提供的日志中提取进程行为特征,进行监测;所述进程行为特征包括进程名、操作名和操作对象。17、进一步地,所述进行进程动态可信验证,包括:18、分别对进程、操作权限和操作对象进行可信验证,验证进程和操作对象是否在白名单中,并验证操作是否在可信行为白名单中。19、进一步地,所述在请求文档打开时及打开后的操作过程中,对系统调用行为安全性进行验证,包括:20、通过分析日志提取系统调用行为序列;21、将所述系统调用行为序列输入至bert模型,得到系统调用行为序列的特征向量;22、将所述系统调用行为序列的特征向量输入至基于图神经网络的恶意文档检测模型中,得到安全性验证结果。23、进一步地,所述对请求文档的完整性进行最终度量,包括:24、(1)通过调用tpcm可信功能软件栈提供的计算哈希值的编程接口,计算请求文档的哈希值h1;25、(2)从可信根上的非易失性存储中指定位置读取可信白名单中存储的哈希值h2;若为读取到h2,则执行步骤(3);否则,若h1与h2相同,表示请求文档未被篡改,否则,报错;26、(3)将请求文档和哈希值h1作为日志进行保存,并将哈希值h1加密后存入可信根上的非易失性存储中的可信白名单里。27、进一步地,所述从请求文档中提取内容特征和结构特征之前,还包括:28、对请求文档进行形式化检查,过滤非标准和无恶意特征的文档。29、第二方面,本技术提出一种恶意文档可信度量系统,包括:30、特征模块,用于从请求加入可信白名单的请求文档中,提取选择特征,输入至恶意文档静态检测模型,得到静态检测结果;所述恶意文档静态检测模型使用决策树算法;31、所述选择特征的确定方法,包括:32、从请求文档中提取内容特征和结构特征,使用决策树算法中的信息增益率评价内容特征和结构特征在恶意文档分类任务重的重要性,以重要性满足预设要求的特征作为选择特征;33、第一监测模块,用于在请求文档打开时,通过tpcm动态可信度量机制,对请求文档打开进程行为进行监测;并进行进程动态可信验证;34、第二监测模块,用于在请求文档打开时及打开后的操作过程中,对系统调用行为安全性进行验证;35、第三监测模块,用于对请求文档的完整性进行最终度量。36、第三方面,本技术提出一种电子设备,包括:37、存储器,用于存储计算机程序;38、处理器,用于执行所述计算机程序时实现上述恶意文档可信度量方法的步骤。39、第四方面,本技术提出一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现上述恶意文档可信度量方法的步骤。40、与现有技术相比,本技术具有以下有益效果:41、本技术提出一种恶意文档可信度量方法,提取对恶意文档静态检测更具有表征性的选择特征,进行恶意文档静态检测,再依次对请求文档进行打开进程行为进行监测,进行进程动态可信验证,并对系统调用行为安全性进行验证,再对完整性进行最终度量。本技术基于tpcm提供的可信功能,提取文档基本内容特征和结构特征,得到深层次特征,丰富了可用于恶意文档检测的特征。能够识别出恶意代码攻击、对象嵌入攻击、文档漏洞攻击、远程链接攻击等常见的恶意文档攻击。采用本技术的方法能够保证应用层对文档的可信(包括安全性和完整性)检测,充分利用了tpcm固有的功能实现恶意文档的安全性检测,减少资源成本的消耗,提升未知攻击的检测能力,增强了可信度量的主动防御效果。42、本技术还提出了一种恶意文档可信度量系统,电子设备和计算机存储介质,具备上述恶意文档可信度量方法的全部优势。当前第1页12当前第1页12
技术特征:1.一种恶意文档可信度量方法,其特征在于,包括:
2.根据权利要求1所述一种恶意文档可信度量方法,其特征在于,所述从请求文档中提取内容特征和结构特征,包括:
3.根据权利要求2所述一种恶意文档可信度量方法,其特征在于,所述通过tpcm动态可信度量机制,对请求文档打开进程行为进行监测,包括:
4.根据权利要求3所述一种恶意文档可信度量方法,其特征在于,所述进行进程动态可信验证,包括:
5.根据权利要求4所述一种恶意文档可信度量方法,其特征在于,所述在请求文档打开时及打开后的操作过程中,对系统调用行为安全性进行验证,包括:
6.根据权利要求5所述一种恶意文档可信度量方法,其特征在于,所述对请求文档的完整性进行最终度量,包括:
7.根据权利要求6所述一种恶意文档可信度量方法,其特征在于,所述从请求文档中提取内容特征和结构特征之前,还包括:
8.一种恶意文档可信度量系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述恶意文档可信度量方法的步骤。
技术总结本申请属于一种可信度量方法,针对动静态结合的恶意文档检测方法,存在恶意代码触发成功率低,资源成本消耗大,速度慢,相比静态检测风险高的技术问题,提供一种恶意文档可信度量方法、系统、设备和存储介质,提取对恶意文档静态检测更具有表征性的选择特征,进行恶意文档静态检测,再依次对请求文档进行打开进程行为进行监测,进行进程动态可信验证,并对系统调用行为安全性进行验证,再对完整性进行最终度量。本申请基于TPCM提供的可信功能,提取文档基本内容特征和结构特征,得到深层次特征,丰富了可用于恶意文档检测的特征。能够识别出恶意代码攻击、对象嵌入攻击、文档漏洞攻击、远程链接攻击等常见的恶意文档攻击。
技术研发人员:蔺子卿,汪旭,张大华,朱亚运,张庚,张晓娟,余刚刚,刘泽宇,胡柏吉,王海翔,张梦迪,曹靖怡,姚爽
受保护的技术使用者:中国电力科学研究院有限公司
技术研发日:技术公布日:2024/10/24
