一种防御文档溢出的方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种防御文档溢出的方法及装置。
【背景技术】
[0002]随着计算机和信息技术的飞速发展,信息化在各行各业都有了广泛的应用。对于企事业单位来说,电子文档已成为公司运行过程中的主要信息载体。在目前阶段,很多钓鱼攻击、社会工程学攻击、鱼叉式攻击等大部分都以文档为载体进行传播。而存在一些用户会点击运行问题文档,从而造成企业或个人的信息泄露,甚至造成经济损失。
[0003]目前企事业单位对于这些电子文档的防护还有一定的欠缺,而现有防护软件和安全产品并不能完全解决文档的安全问题。主要体现在工作人员的安全意识较差,碰到一些高级的社会工程学攻击、钓鱼攻击还是会被诱导打开。
【发明内容】
[0004]本发明所述的技术方案通过在文档打开后,对系统操作和文档自身的行为操作进行监控,如发现可疑操作行为则及时阻断,避免问题文档对系统的感染;同时,通过在文档打开前生成系统快照,文档关闭后恢复系统快照,可以有效防御文档打开期间对系统造成的危害。
[0005]本发明采用如下方法来实现:一种防御文档溢出的方法,包括:
针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;
监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;
监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;
当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。
[0006]进一步地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。
[0007]进一步地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者Shellcode0
[0008]更进一步地,所述基本彳目息包括:名称、hash值或者调用关系D
[0009]本发明可以采用如下装置来实现:一种防御文档溢出的装置,包括:
快照生成模块,用于针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成; 系统监控模块,用于监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;
文档监控模块,用于监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;
快照恢复模块,用于当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照;
可信应用程序库,用于存储可信应用程序的基本信息。
[0010]进一步地,所述提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行,替换为:查询文档打开操作前生成的系统快照,判断所述应用程序的基本信息是否存在于所述系统快照中,若存在,则允许启动运行,否则阻断启动运行。
[0011]进一步地,所述可疑行为包括:释放文件、注入行为、修改注册表、HOOK或者Shellcode0
[0012]更进一步地,所述基本信息包括:名称、hash值或者调用关系。
[0013]综上,本发明给出一种防御文档溢出的方法及装置,只有发现存在文档打开操作时,启动所述装置对系统进行防御保护,在存在文档打开操作前,实时生成系统快照;当监控到存在文档打开操作时,则停止系统快照的生成;监控系统操作,若发现不属于可信应用程序库中的应用程序启动,则进行及时阻断;监控文档本身的行为操作,若存在预设的可疑行为则进行及时阻断;当发现存在文档关闭操作时,对于文档打开前生成的系统快照进行恢复操作。
[0014]有益效果为:本发明所述的方法及装置在文档打开后启动保护状态,在保护状态下不能执行除可信应用程序库外的任何可执行程序;也不能对现有进程中的任何进程进行注入、修改或者新增线程或者其他操作,一旦发现可疑操作行为及时阻断;当文档被关闭后,则停止监控行为,对生成的系统快照进行恢复操作,即使文档自身存在漏洞或者任何安全问题,文档的打开操作都不会对系统造成任何危害。
【附图说明】
[0015]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明提供的一种防御文档溢出的方法实施例流程图;
图2为本发明提供的一种防御文档溢出的装置实施例结构图。
【具体实施方式】
[0017]本发明给出了一种防御文档溢出的方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防御文档溢出的方法实施例,如图1所示,包括: SlOl针对系统运行情况实时生成系统快照,当发现存在文档打开操作时停止快照生成;
其中,所述系统快照为,对系统中现有启动项,注册表,服务,进程,线程,动态地址,每个进程、线程的内存使用情况或者虚拟内存使用情况生成系统快照;
S102监控文档打开期间的系统操作,当发现存在应用程序启动请求,则提取所述应用程序的基本信息与可信应用程序库进行匹配,若成功匹配,则允许启动运行,否则阻断启动运行;其中,所述系统操作可以但不限于:进程、线程、服务或者网络等相关操作;因此,不在可信应用程序库中加载的可疑应用程序不能启动运行,从而实现有效防御;
S103监控文档打开期间的行为操作,并生成行为记录,判断是否存在可疑行为,若存在则阻断所述可疑行为,否则继续监控;
S104当发现存在文档关闭操作时,则停止所有监控行为,恢复文档打开操作前生成的系统快照。
[0018]优