Pdf中觸發(fā)漏洞威脅的檢測(cè)方法及裝置制造方法【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種PDF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置,涉及信息安全領(lǐng)域��,通過(guò)對(duì)PDF文件的解析以及檢測(cè)����,及時(shí)發(fā)現(xiàn)cve-2007-3896的系統(tǒng)漏洞可能被觸發(fā)的威脅,并對(duì)該文件進(jìn)行報(bào)警提示��。本發(fā)明主要的技術(shù)方案為:解析PDF文件識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口�����,對(duì)URI入口的字符串值進(jìn)行檢測(cè)��,確定字符串值包含的處理器后面是否緊跟%字符��,并且字符串值中是否存在.cmd或.bat的字符串值���,若字符串值包含的處理器后面緊跟%字符,并且字符串值中存在.cmd或.bat的字符串值�����,則發(fā)出報(bào)警信息����,提示PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅����。本發(fā)明主要用于檢測(cè)PDF文件安全性����。【專(zhuān)利說(shuō)明】PDF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及信息安全領(lǐng)域�,特別是涉及一種PDF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置?���!?br>背景技術(shù):
】[0002]隨著信息技術(shù)的發(fā)展,軟件功能的強(qiáng)大�����,隨之產(chǎn)生的龐大的源代碼數(shù)量導(dǎo)致了要消除源代碼中存在的設(shè)計(jì)漏洞或?qū)崿F(xiàn)漏洞越來(lái)越困難�,從而黑客可以利用漏洞對(duì)系統(tǒng)進(jìn)行破壞甚至入侵系統(tǒng)。[0003]漏洞是存在于一個(gè)系統(tǒng)內(nèi)的弱點(diǎn)或缺陷�����,這些弱點(diǎn)或缺陷導(dǎo)致系統(tǒng)對(duì)某一特定的威脅攻擊或危險(xiǎn)事件具有敏感性�����,或具有進(jìn)行攻擊威脅的可能性。漏洞一般分為功能性邏輯漏洞和安全性邏輯漏洞���,功能性邏輯漏洞影響軟件的正常功能�,如執(zhí)行結(jié)果錯(cuò)誤��、執(zhí)行流程錯(cuò)誤等����,而安全性邏輯漏洞一般情況下不影響軟件的正常功能,但如果漏洞被攻擊者成功利用后�,有可能造成軟件運(yùn)行錯(cuò)誤甚至執(zhí)行惡意代碼,如網(wǎng)站中的跨站腳本漏洞����、SQL注入漏洞等。[0004]由于信息系統(tǒng)已被廣泛應(yīng)用到國(guó)家的各個(gè)領(lǐng)域����,加之近年來(lái)漏洞的數(shù)量呈明顯上升趨勢(shì)�����,信息系統(tǒng)的安全顯得尤為重要,因此發(fā)現(xiàn)信息系統(tǒng)的漏洞檢測(cè)技術(shù)也成為了當(dāng)前的重點(diǎn)研究方向�����。目前常用的檢測(cè)方法是通過(guò)對(duì)源代碼依據(jù)一定規(guī)則分析來(lái)實(shí)現(xiàn)檢測(cè)目的����,因此這種方法需要建立源代碼的特征庫(kù)和規(guī)則庫(kù),然而隨著漏洞數(shù)量的增加�����,特征庫(kù)也隨之不斷擴(kuò)大��,使得檢測(cè)效率不斷降低����,同時(shí),由于特征庫(kù)的內(nèi)容需要不斷更新����,常會(huì)出現(xiàn)更新不及時(shí)帶來(lái)的誤報(bào)及漏報(bào)情況?��!?br/>發(fā)明內(nèi)容】[0005]有鑒于此����,本發(fā)明提供的一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置,通過(guò)對(duì)TOF文件的解析以及檢測(cè)���,及時(shí)發(fā)現(xiàn)cve-2007-3896的系統(tǒng)漏洞可能被觸發(fā)的威脅�����,并對(duì)該文件進(jìn)行報(bào)警提示��。[0006]依據(jù)本發(fā)明一個(gè)方面����,提出了一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法�,該方法包括:[0007]解析PDF文件識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口;[0008]對(duì)URI入口的字符串值進(jìn)行檢測(cè)��,確定所述字符串值包含的處理器后面是否緊跟%字符�,并且所述字符串值中是否存在.cmd或.bat的字符串值;[0009]若所述字符串值包含的處理器后面緊跟%字符�����,并且所述字符串值中存在.cmd或.bat的字符串值���,則發(fā)出報(bào)警信息�����,提示所述PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅��。[0010]依據(jù)本發(fā)明另一個(gè)方面�,提出了一種PDF中觸發(fā)漏洞威脅的檢測(cè)裝置���,該包括:[0011]解析識(shí)別單元���,用于解析PDF文件并且識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口;[0012]檢測(cè)單元����,用于對(duì)URI入口的字符串值進(jìn)行檢測(cè),確定所述字符串值包含的處理器后面是否緊跟%字符�����,并且所述字符串值中是否存在.cmd或.bat的字符串值�;[0013]發(fā)送單元,用于當(dāng)檢測(cè)單元檢測(cè)出所述字符串值包含的處理器后面緊跟%字符��,并且所述字符串值中存在.cmd或.bat的字符串值時(shí),發(fā)出報(bào)警信息����,提示所述PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅。[0014]借由上述技術(shù)方案��,本發(fā)明實(shí)施例提供的技術(shù)方案至少具有下列優(yōu)點(diǎn):[0015]本發(fā)明所采用的一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置����,能夠在通過(guò)對(duì)PDF文件進(jìn)行解析,識(shí)別URI入口����,再對(duì)該入口的字符串值檢測(cè),當(dāng)該字符串值中包含的處理器后面緊跟%字符�����,同時(shí)存在.cmd或.bat的字符串值時(shí)����,認(rèn)為該P(yáng)DF文件存在觸發(fā)cve-2007-3896漏洞的威脅,并且進(jìn)行程序報(bào)警�。相對(duì)于依靠特征庫(kù)與規(guī)則庫(kù)進(jìn)行對(duì)比的檢測(cè)方法,本發(fā)明所采用的檢測(cè)方法及裝置中所使用的上述檢測(cè)邏輯�,僅針對(duì)該cve-2007-3896漏洞�,對(duì)該中類(lèi)型漏洞的檢測(cè)非常有針對(duì)性����,不需要建立龐大的特征庫(kù)與規(guī)則庫(kù)�,從而減少了建立和使用特征庫(kù)與規(guī)則庫(kù)的時(shí)間,提高了檢測(cè)的效率�����,同時(shí)�,也避免了由于特征庫(kù)與規(guī)則庫(kù)沒(méi)有及時(shí)更新所導(dǎo)致的誤報(bào)和漏報(bào)的情況,進(jìn)而提高了檢測(cè)的準(zhǔn)確率����。[0016]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施�,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】?���!緦?zhuān)利附圖】【附圖說(shuō)明】[0017]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實(shí)施方式的目的����,而并不認(rèn)為是對(duì)本發(fā)明的限制�����。而且在整個(gè)附圖中����,用相同的參考符號(hào)表示相同的部件。在附圖中:[0018]圖1示出了本發(fā)明實(shí)施例提供的一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法流程圖�;[0019]圖2示出了本發(fā)明實(shí)施例提供的一種TOF中觸發(fā)漏洞威脅的檢測(cè)裝置結(jié)構(gòu)示意圖;[0020]圖3示出了本發(fā)明實(shí)施例提供的另一種TOF中觸發(fā)漏洞威脅的檢測(cè)裝置結(jié)構(gòu)示意圖�;[0021]圖4示出了本發(fā)明實(shí)施例提供的另一種PDF中觸發(fā)漏洞威脅的檢測(cè)裝置結(jié)構(gòu)示意圖;[0022]圖5示出了本發(fā)明實(shí)施例提供的另一種PDF中觸發(fā)漏洞威脅的檢測(cè)裝置結(jié)構(gòu)示意圖��?�!揪唧w實(shí)施方式】[0023]下面將參照附圖更詳細(xì)地描述本發(fā)明的示例性實(shí)施例。雖然附圖中顯示了本發(fā)明的示例性實(shí)施例����,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本發(fā)明而不應(yīng)被這里闡述的實(shí)施例所限制����。相反,提供這些實(shí)施例是為了能夠更透徹地理解本發(fā)明��,并且能夠?qū)⒈景l(fā)明的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員�����。[0024]本發(fā)明實(shí)施例提供一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法�����,如圖1所示���,該方法包括:[0025]101、解析TOF文件識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口��。[0026]結(jié)構(gòu)化的文檔格式可移植文檔格式(PortableDocumentFormat,PDF)是由美國(guó)排版與圖像處理軟件公司Adobe于1993年首次提出的�,是一種電子文件格式。這種文件格式與操作系統(tǒng)平臺(tái)無(wú)關(guān),也就是說(shuō)��,PDF文件不管是在Windows,Unix還是在蘋(píng)果公司的MacOS操作系統(tǒng)中都是通用的���。這一性能使它成為在Internet上進(jìn)行電子文檔發(fā)行和數(shù)字化信息傳播的理想文檔格式�。[0027]PDF的結(jié)構(gòu)可以從文件結(jié)構(gòu)和邏輯結(jié)構(gòu)兩個(gè)方面來(lái)理解����,PDF的文件結(jié)構(gòu)指的是其文件物理組織方式,邏輯結(jié)構(gòu)則指的是其內(nèi)容的邏輯組織方式��。其中����,PDF的文件結(jié)構(gòu)(即物理結(jié)構(gòu))包括四個(gè)部分:文件頭(Header)、文件體(Body)��、交叉引用表(Cross-referenceTable)和文件尾(Trailer):[0028]文件頭(Header)指明了該文件所遵從PDF規(guī)范的版本號(hào)�,它出現(xiàn)在PDF文件的第一行。如%roF-1.6表示該文件格式符合TOF1.6規(guī)范�����。文件體(Body)由一系列的PDF間接對(duì)象組成�。這些間接對(duì)象構(gòu)成了PDF文件的具體內(nèi)容如字體、頁(yè)面、圖像等等���。交叉引用表(Cross-referenceTable)則是為了能對(duì)間接對(duì)象進(jìn)行隨機(jī)存取而設(shè)立的一個(gè)間接對(duì)象地址索引表�����。文件尾(Trailer)聲明了交叉引用表的地址���,指明文件體的根對(duì)象(Catalog),還保存了加密等安全信息�。根據(jù)文件尾提供的信息,PDF的應(yīng)用程序可以找到交叉引用表和整個(gè)PDF文件的根對(duì)象�����,從而控制整個(gè)PDF文件���。[0029]PDF文件的基本元素是PDF對(duì)象(PDFObject),PDF對(duì)象包括直接對(duì)象(DirectObject)和間接對(duì)象(IndirectObject);其中直接對(duì)象如下幾種基本類(lèi)型:布爾型(Boolean)����、數(shù)值型(Number)、字符串型(String)���、名字型(Name)����、數(shù)組型(Array)、字典型(Dict1nary)�、流對(duì)象(Stream)以及空對(duì)象(Null);間接對(duì)象是一種標(biāo)識(shí)了的PDF對(duì)象,這個(gè)標(biāo)識(shí)稱(chēng)為間接對(duì)象的ID��。標(biāo)識(shí)的目的是為了讓別的PDF對(duì)象引用��。任何PDF對(duì)象標(biāo)識(shí)后都變成了間接對(duì)象���。[0030]一個(gè)PDF文件是由一個(gè)由基本數(shù)據(jù)類(lèi)型組成的數(shù)據(jù)結(jié)構(gòu)���,而解析PDF文件是通過(guò)以PDF文件為輸入,以flex和bison的詞法語(yǔ)法分析為原理�,然后填充一個(gè)大的PDF文件格式數(shù)據(jù)結(jié)構(gòu)為結(jié)果來(lái)實(shí)現(xiàn)的。[0031]通過(guò)以flex和bison的詞法語(yǔ)法按照PDF格式文檔的說(shuō)明解析一個(gè)PDF文件��,可以識(shí)別出文件頭�����、文件體和文件尾信息�����,這些信息中又包含了眾多的PDF對(duì)象信息,將這些解析出來(lái)的PDF對(duì)象信息再填充到一個(gè)HF的文件格式數(shù)據(jù)結(jié)構(gòu)中����,就完成了PDF的解析工作。在完成PDF的解析工作后�,還需要對(duì)解析出來(lái)的PDF對(duì)象信息進(jìn)行篩查,查找出格式為/URI的PDF對(duì)象信息�,并將此PDF對(duì)象信息標(biāo)示為URI入口。[0032]102�、對(duì)URI入口的字符串值進(jìn)行檢測(cè),確定所述字符串值包含的處理器后面是否緊跟%字符����,并且所述字符串值中是否存在.cmd或.bat的字符串值。[0033]統(tǒng)一資源標(biāo)識(shí)符(UniformResourceIdentifier,URI)是一個(gè)用于標(biāo)識(shí)某一互聯(lián)網(wǎng)資源名稱(chēng)的字符串�����。該種標(biāo)識(shí)允許用戶(hù)對(duì)網(wǎng)絡(luò)中的資源通過(guò)特定的協(xié)議進(jìn)行交互操作����。URI由包括確定語(yǔ)法和相關(guān)協(xié)議的方案所定義���。一般由三部分組成:訪問(wèn)資源的命名機(jī)制��;存放資源的主機(jī)名���;資源自身的名稱(chēng)�����,由路徑表示��。[0034]在確定PDF文件中存在格式為/URI的PDF對(duì)象信息后����,即存在URI入口�����,對(duì)該URI入口的字符串值進(jìn)行檢測(cè)����,檢測(cè)的具體內(nèi)容是確定該字符串值中包含的處理器后面是否緊跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值�。[0035]例如,http:%xx///////////windows/system32/calc.exe〃.bato其中,字符串值中包含的處理器為mailto��、news、nntp�����、snews��、telnet或者h(yuǎn)ttp,對(duì)于具體的處理器種類(lèi)本發(fā)明實(shí)施例不進(jìn)行具體限定���。[0036]在檢測(cè)處理器后面緊跟%字符和檢測(cè).cmd或.bat的字符串值時(shí)����,可以采用先確定字符串值中包含的處理器后面是否緊跟%字符����,若存在緊跟處理器的%字符,再確定字符串值中是否存在.cmd或.bat的字符串值的方式���;也可以采用先確定字符串值中是否存在.cmd或.bat的字符串值����,若存在.cmd或.bat的字符串值�����,再確定字符串值中包含的處理器后面是否緊跟%字符的方式����,以上兩種方式的目的就是確定字符串值中同時(shí)包含有處理器后面是否緊跟%字符和存在.cmd或.bat的字符串值的兩個(gè)特征,對(duì)于具體的檢測(cè)方式�����,本實(shí)施例不進(jìn)行具體限定�����。[0037]103����、若所述字符串值包含的處理器后面緊跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值�,則發(fā)出報(bào)警信息,提示所述PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅����。[0038]cve-2007-3896漏洞是Windowsshell(shell32.dll)在使用所注冊(cè)的URI處理器(如mailto、news����、nntp�����、snews����、telnet����、http等)處理特制URI時(shí)存在輸入驗(yàn)證錯(cuò)誤,遠(yuǎn)程攻擊者可能利用此漏洞誘使用戶(hù)運(yùn)行程序��。如果用戶(hù)使用Windows上所安裝的IE7訪問(wèn)了惡意站點(diǎn)�����,或點(diǎn)擊了包含有字符且以某些擴(kuò)展名(如.bat或.cmd)結(jié)束的特制URI的話(huà)���,就可能導(dǎo)致啟動(dòng)任意程序����。[0039]經(jīng)過(guò)步驟102的檢測(cè)�,當(dāng)PDF文件中的URI入口的字符串值包含的處理器后面緊跟%字符,并且所述字符串值中存在.cmd或.bat的字符串值時(shí),系統(tǒng)將發(fā)出報(bào)警信息����,提示該P(yáng)DF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅��。該報(bào)警提示信息的內(nèi)容可以為該P(yáng)DF文件的文件名或該P(yáng)DF文件的存儲(chǔ)路徑�,也可以是該P(yáng)DF文件所構(gòu)成威脅的等級(jí)提示;而該提示信息的形式可以是彈提示框的形式����,也可以是圖標(biāo)或者文本頁(yè)面的形式提示,本發(fā)明實(shí)施例對(duì)該報(bào)警信息的具體內(nèi)容及形式不進(jìn)行具體限定�����。[0040]基于上述的TOF中觸發(fā)漏洞威脅的檢測(cè)方法�����,本發(fā)明實(shí)施例還提供一種TOF中觸發(fā)漏洞威脅的檢測(cè)裝置����,如圖2所示,該裝置包括:[0041]解析識(shí)別單元21���,用于解析PDF文件并且識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口����。[0042]檢測(cè)單元22,用于對(duì)URI入口的字符串值進(jìn)行檢測(cè)�,確定所述字符串值包含的處理器后面是否緊跟%字符,并且所述字符串值中是否存在.cmd或.bat的字符串值���。[0043]輸出單元23�,用于當(dāng)檢測(cè)單元22檢測(cè)出所述字符串值包含的處理器后面緊跟%字符�,并且所述字符串值中存在.cmd或.bat的字符串值時(shí),發(fā)出報(bào)警信息�,提示所述TOF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅。[0044]進(jìn)一步的���,所述TOF中觸發(fā)漏洞威脅的檢測(cè)裝置中����,如圖3所示���,所述解析識(shí)別單元21包括:[0045]獲取模塊211����,用于解析PDF文件獲取所述PDF文件的文件格式信息。[0046]查詢(xún)模塊212,用于從獲取模塊獲211取的所述文件格式信息中查找名name的格式為/URI的URI入口�����。[0047]進(jìn)一步的���,所述TOF中觸發(fā)漏洞威脅的檢測(cè)裝置中,如圖4所示���,所述檢測(cè)單元22包括:[0048]第一檢測(cè)模塊221��,用于檢測(cè)所述URI入口的字符串值時(shí)�����,確定所述字符串值包含的處理器后面是否緊跟%字符���。[0049]第二檢測(cè)模塊222,用于當(dāng)?shù)谝粰z測(cè)模塊確定所述字符串值包含的處理器后面緊跟%字符時(shí)��,檢測(cè)所述字符串值中是否存在.cmd或.bat的字符串值��。[0050]進(jìn)一步的����,所述TOF中觸發(fā)漏洞威脅的檢測(cè)裝置中��,如圖5所示���,所述檢測(cè)單元22還包括:[0051]第二檢測(cè)模塊222,還用于檢測(cè)所述URI入口的字符串值時(shí)�����,確定所述字符串值中是否存在.cmd或.bat的字符串值�。[0052]第三檢測(cè)模塊223,用于當(dāng)?shù)诙z測(cè)模塊確定所述字符串值存在.cmd或.bat的字符串值時(shí)��,檢測(cè)所述字符串值包含的處理器后面是否緊跟%字符����。[0053]進(jìn)一步的,所述TOF中觸發(fā)漏洞威脅的檢測(cè)裝置中��,所述處理器為mailto����、news,nntp、snews>telnet或者h(yuǎn)ttp����。[0054]本發(fā)明所采用的一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置����,能夠在通過(guò)對(duì)PDF文件進(jìn)行解析���,識(shí)別URI入口����,再對(duì)該入口的字符串值檢測(cè)�,當(dāng)該字符串值中包含的處理器后面緊跟%字符���,同時(shí)存在.cmd或.bat的字符串值時(shí)���,認(rèn)為該P(yáng)DF文件存在觸發(fā)cve-2007-3896漏洞的威脅,并且進(jìn)行程序報(bào)警����。相對(duì)于依靠特征庫(kù)與規(guī)則庫(kù)進(jìn)行對(duì)比的檢測(cè)方法,本發(fā)明所采用的檢測(cè)方法及裝置中所使用的上述檢測(cè)邏輯����,僅針對(duì)該cve-2007-3896漏洞���,對(duì)該中類(lèi)型漏洞的檢測(cè)非常有針對(duì)性,不需要建立龐大的特征庫(kù)與規(guī)則庫(kù)���,從而減少了建立和使用特征庫(kù)與規(guī)則庫(kù)的時(shí)間����,提高了檢測(cè)的效率����,同時(shí),也避免了由于特征庫(kù)與規(guī)則庫(kù)沒(méi)有及時(shí)更新所導(dǎo)致的誤報(bào)和漏報(bào)的情況�,進(jìn)而提高了檢測(cè)的準(zhǔn)確率。[0055]在上述實(shí)施例中�,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒(méi)有詳述的部分����,可以參見(jiàn)其他實(shí)施例的相關(guān)描述。[0056]可以理解的是��,上述方法及裝置中的相關(guān)特征可以相互參考����。另外���,上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例�,而并不代表各實(shí)施例的優(yōu)劣。[0057]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�����,為描述的方便和簡(jiǎn)潔��,上述描述的系統(tǒng)��,裝置和單元的具體工作過(guò)程�����,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程�����,在此不再贅述�。[0058]在此提供的算法和顯示不與任何特定計(jì)算機(jī)�����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用�。根據(jù)上面的描述,構(gòu)造這類(lèi)系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的�。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言��。應(yīng)當(dāng)明白��,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�。[0059]在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)���。然而�����,能夠理解����,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中����,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)��,以便不模糊對(duì)本說(shuō)明書(shū)的理解����。[0060]類(lèi)似地,應(yīng)當(dāng)理解��,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)�����,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中��,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例���、圖、或者對(duì)其的描述中�。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征���。更確切地說(shuō)����,如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征�。因此,遵循【具體實(shí)施方式】的權(quán)利要求書(shū)由此明確地并入該【具體實(shí)施方式】�����,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例���。[0061]本領(lǐng)域那些技術(shù)人員可以理解���,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?��?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件��,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件�����。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外�����,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求����、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述�,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同��、等同或相似目的的替代特征來(lái)代替��。[0062]此外�����,本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例����。例如,在下面的權(quán)利要求書(shū)中����,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。[0063]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)���,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�����,或者以它們的組合實(shí)現(xiàn)���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一種PDF中觸發(fā)漏洞威脅的檢測(cè)方法及裝置中的一些或者全部部件的一些或者全部功能����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)���。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上����,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式�。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供���,或者以任何其他形式提供����。[0064]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例�����。在權(quán)利要求中��,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制�����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)�。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)���。單詞第一��、第二�����、以及第三等的使用不表示任何順序�����?��?蓪⑦@些單詞解釋為名稱(chēng)?!緳?quán)利要求】1.一種TOF中觸發(fā)漏洞威脅的檢測(cè)方法,其特征在于���,包括:解析PDF文件識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口���;對(duì)URI入口的字符串值進(jìn)行檢測(cè),確定所述字符串值包含的處理器后面是否緊跟%字符�,并且所述字符串值中是否存在.cmd或.bat的字符串值;若所述字符串值包含的處理器后面緊跟%字符�����,并且所述字符串值中存在.cmd或.bat的字符串值,則發(fā)出報(bào)警信息����,提示所述PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅。2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,解析PDF文件識(shí)別URI入口包括:解析PDF文件獲取所述PDF文件的文件格式信息�;從所述文件格式信息中查找名name的格式為/URI的URI入口。3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,對(duì)URI入口的字符串值進(jìn)行檢測(cè)�����,確定所述字符串值包含的處理器后面是否緊跟%字符�����,并且所述字符串值中是否存在.cmd或.bat的字符串值包括:檢測(cè)所述URI入口的字符串值�����,確定所述字符串值包含的處理器后面是否緊跟%字符;若確定所述字符串值包含的處理器后面緊跟%字符�,則檢測(cè)所述字符串值中是否存在.cmd或.bat的字符串值����。4.根據(jù)權(quán)利要求2所述的方法,其特征在于����,對(duì)URI入口的字符串值進(jìn)行檢測(cè),確定所述字符串值包含的處理器后面是否緊跟%字符����,并且所述字符串值中是否存在.cmd或.bat的字符串值包括:檢測(cè)所述URI入口的字符串值,確定所述字符串值中是否存在.cmd或.bat的字符串值�����;若確定所述字符串值存在.cmd或.bat的字符串值���,則檢測(cè)所述字符串值包含的處理器后面是否緊跟%字符��。5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的方法���,其特征在于�,所述處理器為mailto�����、news,nntp�����、snews�、telnet或者h(yuǎn)ttp。6.一種TOF中觸發(fā)漏洞威脅的檢測(cè)裝置���,其特征在于�����,包括:解析識(shí)別單元�,用于解析PDF文件并且識(shí)別統(tǒng)一資源標(biāo)識(shí)符URI入口;檢測(cè)單元���,用于對(duì)URI入口的字符串值進(jìn)行檢測(cè)�,確定所述字符串值包含的處理器后面是否緊跟%字符��,并且所述字符串值中是否存在.cmd或.bat的字符串值�����;輸出單元����,用于當(dāng)檢測(cè)單元檢測(cè)出所述字符串值包含的處理器后面緊跟%字符�,并且所述字符串值中存在.cmd或.bat的字符串值時(shí),發(fā)出報(bào)警信息���,提示所述PDF文件存在構(gòu)造觸發(fā)cve-2007-3896漏洞的威脅��。7.根據(jù)權(quán)利要求6所述的檢測(cè)裝置�����,其特征在于�,所述解析識(shí)別單元包括:獲取模塊,用于解析PDF文件獲取所述PDF文件的文件格式信息�����;查詢(xún)模塊����,用于從獲取模塊獲取的所述文件格式信息中查找名name的格式為/URI的URI入口。8.根據(jù)權(quán)利要求7所述的檢測(cè)裝置��,其特征在于�����,所述檢測(cè)單元包括:第一檢測(cè)模塊�,用于檢測(cè)所述URI入口的字符串值時(shí),確定所述字符串值包含的處理器后面是否緊跟%字符���;第二檢測(cè)模塊��,用于當(dāng)?shù)谝粰z測(cè)模塊確定所述字符串值包含的處理器后面緊跟%字符時(shí)�����,檢測(cè)所述字符串值中是否存在.cmd或.bat的字符串值���。9.根據(jù)權(quán)利要求7所述的檢測(cè)裝置�,其特征在于��,所述檢測(cè)單元還包括:第二檢測(cè)模塊�,還用于檢測(cè)所述URI入口的字符串值時(shí),確定所述字符串值中是否存在.cmd或.bat的字符串值�����;第三檢測(cè)模塊���,用于當(dāng)?shù)诙z測(cè)模塊確定所述字符串值存在.cmd或.bat的字符串值時(shí)���,檢測(cè)所述字符串值包含的處理器后面是否緊跟%字符。10.根據(jù)權(quán)利要求6-9中任一項(xiàng)所述的檢測(cè)裝置����,其特征在于����,所述處理器為mailto、news�����、nntp、snews��、telnet或者h(yuǎn)ttp�����?!疚臋n編號(hào)】G06F21/57GK104239800SQ201410510251【公開(kāi)日】2014年12月24日申請(qǐng)日期:2014年9月28日優(yōu)先權(quán)日:2014年9月28日【發(fā)明者】邢超,陳卓,楊康,唐海申請(qǐng)人:北京奇虎科技有限公司,奇智軟件(北京)有限公司