[发明专利]一种RTF可疑文件的检测方法、系统及存储介质

说明书

本发明提出一种RTF可疑文件的检测方法、系统及存储介质，所述方法包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。通过本发明的方法，能够有效识别在RTF中进行混淆的文件，解决现有依据特征进行检测的技术中，由于特征被混杂文件打乱而无法检测的问题。

技术领域

本发明涉及网络安全技术领域，特别涉及一种RTF可疑文件的检测方法、系统及存储介质。

背景技术

RTF文件为多信息文本格式 (RTF) ，是一种方便于不同的设备、系统查看的文本和图形文档格式。

常规的RTF可疑文件检测方式，通过提取shellcode（是指能完成特殊任务的自包含的二进制代码，根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell。）等恶意特征来进行检测，全文匹配特定的特征来确认文件是否为可疑文件。但是全文匹配恶意特征只能检测符合特征的RTF可疑文件。

由于RTF文件的多变性，在特定数据段嵌入冗余数据进行混淆，将在不影响RTF文件解析的情况下使可匹配的特征被分割导致无法匹配到，逃避检测。导致了对RTF可疑文件的检测出现困难。

发明内容

基于上述问题，本发明提出了一种RTF可疑文件的检测方法、系统及存储介质。能够通过对RTF文件中嵌入文件的混淆进行识别来检测可疑文件。

本发明通过如下方法实现：

一种RTF可疑文件的检测方法，包括：

获取RTF文件中objdata数据段；

搜索objdata数据段中是否同时存在16进制数据及非16进制数据；

如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。

所述的方法中，所述获取RTF文件中objdata数据段，具体为：

在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。

一种RTF可疑文件的检测系统，包括：

获取模块，获取RTF文件中objdata数据段；

搜索模块，搜索objdata数据段中是否同时存在16进制数据及非16进制数据；

数据统计模块，如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。

所述的系统这，所述获取RTF文件中objdata数据段，具体为：

在RTF文件中搜索objdata标签，获取该标签对应的数据段，即为objdata数据段。

本发明还提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的RTF可疑文件的检测方法。