[发明专利]PDF中触发漏洞威胁的检测方法及装置

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种PDF中触发漏洞威胁的检测方法及装置。

背景技术

随着信息技术的发展，软件功能的强大，随之产生的庞大的源代码数量导致了要消除源代码中存在的设计漏洞或实现漏洞越来越困难，从而黑客可以利用漏洞对系统进行破坏甚至入侵系统。

漏洞是存在于一个系统内的弱点或缺陷，这些弱点或缺陷导致系统对某一特定的威胁攻击或危险事件具有敏感性，或具有进行攻击威胁的可能性。漏洞一般分为功能性逻辑漏洞和安全性逻辑漏洞，功能性逻辑漏洞影响软件的正常功能，如执行结果错误、执行流程错误等，而安全性逻辑漏洞一般情况下不影响软件的正常功能，但如果漏洞被攻击者成功利用后，有可能造成软件运行错误甚至执行恶意代码，如网站中的跨站脚本漏洞、SQL注入漏洞等。

由于信息系统已被广泛应用到国家的各个领域，加之近年来漏洞的数量呈明显上升趋势，信息系统的安全显得尤为重要，因此发现信息系统的漏洞检测技术也成为了当前的重点研究方向。目前常用的检测方法是通过对源代码依据一定规则分析来实现检测目的，因此这种方法需要建立源代码的特征库和规则库，然而随着漏洞数量的增加，特征库也随之不断扩大，使得检测效率不断降低，同时，由于特征库的内容需要不断更新，常会出现更新不及时带来的误报及漏报情况。

发明内容

有鉴于此，本发明提供的一种PDF中触发漏洞威胁的检测方法及装置，通过对PDF文件的解析以及检测，及时发现cve-2007-3896的系统漏洞可能被触发的威胁，并对该文件进行报警提示。

依据本发明一个方面，提出了一种PDF中触发漏洞威胁的检测方法，该方法包括：

解析PDF文件识别统一资源标识符URI入口；

对URI入口的字符串值进行检测，确定所述字符串值包含的处理器后面是否紧跟％字符，并且所述字符串值中是否存在.cmd或.bat的字符串值；

若所述字符串值包含的处理器后面紧跟％字符，并且所述字符串值中存在.cmd或.bat的字符串值，则发出报警信息，提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。

依据本发明另一个方面，提出了一种PDF中触发漏洞威胁的检测装置，该包括：

解析识别单元，用于解析PDF文件并且识别统一资源标识符URI入口；

检测单元，用于对URI入口的字符串值进行检测，确定所述字符串值包含的处理器后面是否紧跟％字符，并且所述字符串值中是否存在.cmd或.bat的字符串值；

发送单元，用于当检测单元检测出所述字符串值包含的处理器后面紧跟％字符，并且所述字符串值中存在.cmd或.bat的字符串值时，发出报警信息，提示所述PDF文件存在构造触发cve-2007-3896漏洞的威胁。

借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：

本发明所采用的一种PDF中触发漏洞威胁的检测方法及装置，能够在通过对PDF文件进行解析，识别URI入口，再对该入口的字符串值检测，当该字符串值中包含的处理器后面紧跟％字符，同时存在.cmd或.bat的字符串值时，认为该PDF文件存在触发cve-2007-3896漏洞的威胁，并且进行程序报警。相对于依靠特征库与规则库进行对比的检测方法，本发明所采用的检测方法及装置中所使用的上述检测逻辑，仅针对该cve-2007-3896漏洞，对该中类型漏洞的检测非常有针对性，不需要建立庞大的特征库与规则库，从而减少了建立和使用特征库与规则库的时间，提高了检测的效率，同时，也避免了由于特征库与规则库没有及时更新所导致的误报和漏报的情况，进而提高了检测的准确率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种PDF中触发漏洞威胁的检测方法流程图；

图2示出了本发明实施例提供的一种PDF中触发漏洞威胁的检测装置结构示意图；

图3示出了本发明实施例提供的另一种PDF中触发漏洞威胁的检测装置结构示意图；