[发明专利]上传文件威胁检测方法及装置、计算机可读存储介质

权利要求书

1.一种上传文件威胁检测方法，其特征在于，包括：

获取上传文件对应的上传日志数据，所述上传日志数据包括上传文件的多用途互联网邮件扩展MIME类型与文件扩展名；

根据上传日志数据对上传文件的MIME类型与文件扩展名进行一致性检测，所述一致性检测是根据MIME类型和文件扩展名对应的映射关系进行确定；

对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测；

检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序；

将检测为可执行程序的目标上传文件确定为威胁文件。

2.如权利要求1所述的方法，其特征在于，获取上传文件对应的上传日志数据，包括：

周期性收集用户上传文件时文件上传存储系统存储的上传日志数据；

将所述上传日志数据进行格式整理，得到上传文件的MIME类型与文件扩展名。

3.如权利要求1所述的方法，其特征在于，根据上传日志数据对上传文件的MIME类型与文件扩展名进行一致性检测，包括：

识别上传文件对应上传日志数据中的文件头字符，得到上传文件的MIME类型；

将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配；

若不匹配，则确定所述上传文件为可疑上传文件。

4.如权利要求1所述的方法，其特征在于，对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测，包括：

从预定规则数据库中获取安全检测规则数据；

将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配，确定所述可疑上传文件中是否包含源代码或二进制代码；

若相匹配，则确定所述可疑上传文件的内容检测异常，为目标上传文件。

5.如权利要求4所述的方法，其特征在于，在对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前，还包括：

创建接收安全检测规则数据的应用程序接口API；

通过所述API接收规则管理系统新创建的安全检测规则数据；

将接收的安全检测规则数据保存到所述预定规则数据库中。

6.如权利要求1所述的方法，其特征在于，检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序，包括：

将所述目标上传文件放入威胁检测沙箱进行检测；

若所述目标上传文件在所述威胁检测沙箱中可被执行，则检测出所述目标上传文件为可执行程序。

7.如权利要求6所述的方法，其特征在于，在将检测为可执行程序的目标上传文件确定为威胁文件之前，还包括：

检测所述目标上传文件是否存在外部访问行为；

若存在，则获取所述外部访问行为对应的IP地址和域名中至少一项；

将所述外部访问行为对应的IP地址和域名中至少一项与预定威胁情报库中的威胁信息进行匹配，所述威胁情报库用于存储IP地址与IP威胁信息的映射关系以及域名与域名威胁信息的映射关系；

将匹配到威胁信息的目标上传文件确定为威胁文件。

8.如权利要求1所述的方法，其特征在于，在将检测为可执行程序的目标上传文件确定为威胁文件之后，还包括：

向安全运维系统发送所述威胁文件关联的威胁特征信息，所述威胁特征信息包括所述威胁文件的文件名、文件唯一标识符、文件内容异常信息描述及可执行程序威胁信息描述。

9.一种上传文件威胁检测装置，其特征在于，包括：存储器和与所述存储器电连接的处理器，所述存储器存储有可在所述处理器运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的方法的步骤。