[发明专利]一种防御文档溢出的方法及装置

说明书

本发明公开了一种防御文档溢出的方法及装置，包括：针对系统运行情况实时生成系统快照，当发现存在文档打开操作时停止快照生成；监控文档打开期间的系统操作，当发现存在应用程序启动请求，则提取所述应用程序的基本信息与可信应用程序库进行匹配，若成功匹配，则允许启动运行，否则阻断启动运行；监控文档打开期间的行为操作，并生成行为记录，判断是否存在可疑行为，若存在则阻断所述可疑行为，否则继续监控；当发现存在文档关闭操作时，则停止所有监控行为，恢复文档打开操作前生成的系统快照。本发明所述技术方案能够有效防御恶意代码通过文档感染系统的行为。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种防御文档溢出的方法及装置。

背景技术

随着计算机和信息技术的飞速发展，信息化在各行各业都有了广泛的应用。对于企事业单位来说，电子文档已成为公司运行过程中的主要信息载体。在目前阶段，很多钓鱼攻击、社会工程学攻击、鱼叉式攻击等大部分都以文档为载体进行传播。而存在一些用户会点击运行问题文档，从而造成企业或个人的信息泄露，甚至造成经济损失。

目前企事业单位对于这些电子文档的防护还有一定的欠缺，而现有防护软件和安全产品并不能完全解决文档的安全问题。主要体现在工作人员的安全意识较差，碰到一些高级的社会工程学攻击、钓鱼攻击还是会被诱导打开。

发明内容

本发明所述的技术方案通过在文档打开后，对系统操作和文档自身的行为操作进行监控，如发现可疑操作行为则及时阻断，避免问题文档对系统的感染；同时，通过在文档打开前生成系统快照，文档关闭后恢复系统快照，可以有效防御文档打开期间对系统造成的危害。

本发明采用如下方法来实现：一种防御文档溢出的方法，包括：

针对系统运行情况实时生成系统快照，当发现存在文档打开操作时停止快照生成；

监控文档打开期间的系统操作，当发现存在应用程序启动请求，则提取所述应用程序的基本信息与可信应用程序库进行匹配，若成功匹配，则允许启动运行，否则阻断启动运行；

监控文档打开期间的行为操作，并生成行为记录，判断是否存在可疑行为，若存在则阻断所述可疑行为，否则继续监控；

当发现存在文档关闭操作时，则停止所有监控行为，恢复文档打开操作前生成的系统快照。

进一步地，所述提取所述应用程序的基本信息与可信应用程序库进行匹配，若成功匹配，则允许启动运行，否则阻断启动运行，替换为：查询文档打开操作前生成的系统快照，判断所述应用程序的基本信息是否存在于所述系统快照中，若存在，则允许启动运行，否则阻断启动运行。

进一步地，所述可疑行为包括：释放文件、注入行为、修改注册表、HOOK或者shellcode。

更进一步地，所述基本信息包括：名称、hash值或者调用关系。

本发明可以采用如下装置来实现：一种防御文档溢出的装置，包括：

快照生成模块，用于针对系统运行情况实时生成系统快照，当发现存在文档打开操作时停止快照生成；

系统监控模块，用于监控文档打开期间的系统操作，当发现存在应用程序启动请求，则提取所述应用程序的基本信息与可信应用程序库进行匹配，若成功匹配，则允许启动运行，否则阻断启动运行；

文档监控模块，用于监控文档打开期间的行为操作，并生成行为记录，判断是否存在可疑行为，若存在则阻断所述可疑行为，否则继续监控；

快照恢复模块，用于当发现存在文档关闭操作时，则停止所有监控行为，恢复文档打开操作前生成的系统快照；

可信应用程序库，用于存储可信应用程序的基本信息。