[发明专利]上传文件威胁检测方法及装置、计算机可读存储介质

说明书

本申请公开了一种上传文件威胁检测方法及装置、计算机可读存储介质，本申请提供的方案包括：获取上传文件对应的上传日志数据，所述上传日志数据包括上传文件的多用途互联网邮件扩展MIME类型与文件扩展名；根据上传日志数据对上传文件的MIME类型与文件扩展名进行一致性检测；对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测；检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序；将检测为可执行程序的目标上传文件确定为威胁文件。本申请可以有效检测上传文件中的恶意文件，降低Web网站被威胁攻击的风险。

技术领域

本申请涉及车辆安全技术领域，尤其涉及一种上传文件威胁检测方法及装置、计算机可读存储介质。

背景技术

用户在使用Web网站过程中上传的文件中可能潜存的各种威胁攻击行为，为了降低网站被恶意攻击的风险，通常系统充许的上传的文件类型限定于一定的范围内，例如图片文件，或者文本文件。

但是非法用户会通过篡改上传文件类型等手段规避这种限制，由此造成上传的文件实际为恶意文件，在文件使用的后期产生更多的安全问题，从而对网络环境与硬件资产所形成安全威胁。

如何有效检测上传文件中的恶意文件，降低Web网站被威胁攻击的风险，提高Web网站的安全性，是目前需要解决的技术问题。

发明内容

本申请实施例的目的是提供一种上传文件威胁检测方法及装置、计算机可读存储介质，用以解决潜在的恶意上传文件导致Web网站被威胁攻击的问题。

为了解决上述技术问题，本说明书是这样实现的：

第一方面，提供了一种上传文件威胁检测方法，包括：获取上传文件对应的上传日志数据，所述上传日志数据包括上传文件的多用途互联网邮件扩展MIME类型与文件扩展名；根据上传日志数据对上传文件的MIME类型与文件扩展名进行一致性检测；对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测；检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序；将检测为可执行程序的目标上传文件确定为威胁文件。

可选的，获取上传文件对应的上传日志数据，包括：周期性收集用户上传文件时文件上传存储系统存储的上传日志数据；将所述上传日志数据进行格式整理，得到上传文件的MIME类型与文件扩展名。

可选的，根据上传日志数据对上传文件的MIME类型与文件扩展名进行一致性检测，包括：识别上传文件对应上传日志数据中的文件头字符，得到上传文件的MIME类型；将所述文件头字符与所述上传日志数据中的文件扩展名字符进行一致性匹配；若不匹配，则确定所述上传文件为可疑上传文件。

可选的，对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测，包括：从预定规则数据库中获取安全检测规则数据；将安全检测规则数据的规则内容和可疑上传文件的文本内容进行匹配，确定所述可疑上传文件中是否包含源代码或二进制代码；若相匹配，则确定所述可疑上传文件的内容检测异常，为目标上传文件。

可选的，在对所述上传文件中MIME类型与文件扩展名检测不一致的可疑上传文件的内容进行异常检测之前，还包括：创建接收安全检测规则数据的应用程序接口API；通过所述API接收规则管理系统新创建的安全检测规则数据；将接收的安全检测规则数据保存到所述预定规则数据库中。

可选的，检测所述可疑上传文件中内容检测异常的目标上传文件是否为可执行程序，包括：将所述目标上传文件放入威胁检测沙箱进行检测；若所述目标上传文件在所述威胁检测沙箱中可被执行，则检测出所述目标上传文件为可执行程序。