本发明涉及文件检测领域,尤其涉及一种无特征加密文件检测方法、终端设备及存储介质。
背景技术:
随着信息化的发展,电子信息的保密安全不可忽视,人们也越发有意识的对重要文件进行加密。在电子数据取证的过程中,加密文件是关注的重点,其往往存储有重要的信息。针对加密文件往往需要先检测再解密分析,目前针对加密文件的检测方式都是通过文件特征结合文件结构进行检测,然而加密文件类型众多,许多加密文件在解密之前不具备任何的签名、结构等特征,通过文件特征结合文件结构的检测方式对加密文件进行检测并不能对所有加密文件进行有效检测,如truecrypt加密容器文件的头部不具备任何特征结构,使用传统的方法在检测时就会漏检,因此,无特征的加密文件检测成为了取证过程中的一个难点。
技术实现要素:
为了解决上述问题,本发明提出了一种无特征加密文件检测方法、终端设备及存储介质。
具体方案如下:
一种无特征加密文件检测方法,包括以下步骤:
s1:判断文件内是否包含已知的特征,如果是,结束;否则,进入s2;
s2:判断文件的大小是否大于预设的文件最小值,如果是,进入s3;否则,结束;
s3:对文件进行解析,并获取文件的有效数据区域。
s4:判断文件的有效数据区域中的数据是否离散,如果是,进入s5;否则,结束;
s5:判断文件是否为加密文件,如果是,则判定文件为无特征加密文件;否则,结束。
进一步的,步骤s1中判断是否包含已知的特征通过收集现有的已知特征,并建立已知特征库,通过将文件包含的各特征与已知特征库中的每个特征进行一一比对,进而进行判断。
进一步的,步骤s4中文件的有效数据区域中的数据是否离散的判断过程包括以下步骤:
s401判断有效数据区域中数据的大小是否大于10*m字节,其中m表示一份数据的大小,如果是,则从有效数据区域中均匀提取10份数据,每份数据的大小均为m字节;否则,按照每份数据大小为m字节从有效数据区域中提取多份数据,如果数据的大小小于m字节,则直接将所有数据提取为一份数据;
s402:针对提取的每一份数据通过数据离散判断规则判断其离散型,当每份数据均为离散时,判定文件的有效数据区域中数据离散。
进一步的,步骤s5中文件是否为加密文件根据文件信息量是否满足加密文件信息量进行判断。
进一步的,信息量通过信息熵进行度量,则文件是否为加密文件的判断过程包括以下步骤:
s51:将文件的头部中512字节的数据按照32字节每组分为16组;
s52:以字节为单位计算每组数据的信息熵;
s53:判断16组数据的信息熵是否都大于阈值,如果是,进入s54;否则,判断文件不是加密文件,结束;
s54:将文件的尾部中512字节的数据按照32字节每组分为16组;
s55:以字节为单位计算每组数据的信息熵;
s56:判断16组数据的信息熵是否都大于阈值,如果是,则判定文件为加密文件;否则,判定文件不是加密文件。
一种无特征加密文件检测终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,实现了无特征加密文件的快速检测,具有检测速度快、精度高的特点,为电子数据取证中加密文件的快速全面检测提供了有力的技术支撑。
附图说明
图1所示为本发明实施例一的流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种无特征加密文件检测方法,如图1所示,所述方法包括以下步骤:
s1:判断文件内是否包含已知的特征,如果是,结束;否则,进入s2。
判断是否包含已知的特征可以通过收集现有的已知特征,并建立已知特征库,通过将文件包含的各特征与已知特征库中的每个特征进行一一比对,进而进行判断。
s2:判断文件的大小是否大于预设的文件最小值,如果是,进入s3;否则,结束。
该实施例中预设的文件最小值为所有已知无特征加密文件对应的最小值中的最小值。
s3:对文件进行解析,并获取文件的有效数据区域。
s4:判断文件的有效数据区域中的数据是否离散,如果是,进入s5;否则,结束。
判断是否离散的方法采用数据离散判断规则,具体规则如下:
假设一段数据有n个字节,则n个字节中出现字节i(0~255)的理论次数应当为xi=n/256,卡方检验中的自由度等于x的取值范围减去1,为了避免自由度过大,该实施例中将0~255种数值按每32种数值为一组分成8组。当读取数据中的某个字节出现在某一组中时,相应组的出现次数加1。假设用gi(1~8)表示某一组的出现次数,则gi的理论值为gi=32*(n/256)。则数据是否离散的判断步骤为:
(1)建立假设
h0:该段数据为离散数据;
ha:该段数据不是离散数据;
(2)计算统计量
其中,yi表示实际出现的次数。
(3)比较与决策
设定显著水平a取值为0.05,而自由度v取值为7(7由8减去1得到)。因此,当χ2>χ2(7)0.05时(查表可知χ2(7)0.05=14.07),则拒绝虚无假设接受研究假设,即判定该段数据不是离散数据。否则,接受虚无假设,判定该段数据为离散数据。
基于上述的数据离散判断规则,该实施例中有效数据区域中的数据是否离散的判断过程包括以下步骤:
s401:判断有效数据区域中数据的大小是否大于10*m字节,其中m表示一份数据的大小,如果是,则从有效数据区域中均匀提取10份数据,每份数据的大小均为m字节;否则,按照每份数据大小为m字节从有效数据区域中提取多份数据,如果数据的大小小于m字节,则直接将所有数据提取为一份数据。
该实施例中设定m为128000,m为5*256的倍数,在其他实施例中也可以设定m为其他值,在此不做限制。
s402:针对提取的每一份数据,通过上述数据离散判断规则判断其离散型,当每份数据均为离散时,判定文件的有效数据区域中数据离散。
s5:判断文件是否为加密文件,如果是,则判定文件为无特征加密文件;否则,结束。
文件是否为加密文件根据文件信息量是否满足加密文件信息量进行判断。
信息量通过信息熵进行度量,信息熵的计算公式为:
一个文件的头部或者尾部通常情况下具有一定的特征且这些特征并不包含在已经收集的签名列表中。为了避免特征信息被隐藏在大数据中,该实施例中设定每次检测的片段大小为16字节(注:16字节信息熵的最大值为4)。则文件是否为加密文件的判断过程如下:
s51:将文件的头部中512字节的数据按照32字节每组分为16组;
s52:以字节为单位计算每组数据的信息熵;
s53:判断16组数据的信息熵是否都大于阈值,如果是,进入s54;否则,判断文件不是加密文件,结束;
s54:将文件的尾部中512字节的数据按照32字节每组分为16组;
s55:以字节为单位计算每组数据的信息熵;
s56:判断16组数据的信息熵是否都大于阈值,如果是,则判定文件为加密文件;否则,判定文件不是加密文件。
本发明实施例一在现有检测技术的基础上,通过特征库、最小值排除法对待检测文件进行初选,并基于加密数据的离散特性及文件系统的实现原理,在有效数据提取的基础上,创造性的引入卡方校验、信息熵等数据理论方法,对待检测文件进行离散程度检测,进一步基于检测情况判定是否为加密。本实施例能够对无特征加密文件进行快速全面的检测,具有检测速度快精度高的特点,为电子数据取证中隐秘加密文件的检测提供了高效的技术手段,是一种创新通用技术。
实施例二:
本发明还提供一种无特征加密文件检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述无特征加密文件检测终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述无特征加密文件检测终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述无特征加密文件检测终端设备的组成结构仅仅是无特征加密文件检测终端设备的示例,并不构成对无特征加密文件检测终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述无特征加密文件检测终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述无特征加密文件检测终端设备的控制中心,利用各种接口和线路连接整个无特征加密文件检测终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述无特征加密文件检测终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述无特征加密文件检测终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
1.一种无特征加密文件检测方法,其特征在于,包括以下步骤:
s1:判断文件内是否包含已知的特征,如果是,结束;否则,进入s2;
s2:判断文件的大小是否大于预设的文件最小值,如果是,进入s3;否则,结束;
s3:对文件进行解析,并获取文件的有效数据区域。
s4:判断文件的有效数据区域中的数据是否离散,如果是,进入s5;否则,结束;
s5:判断文件是否为加密文件,如果是,则判定文件为无特征加密文件;否则,结束。
2.根据权利要求1所述的无特征加密文件检测方法,其特征在于:步骤s1中判断是否包含已知的特征通过收集现有的已知特征,并建立已知特征库,通过将文件包含的各特征与已知特征库中的每个特征进行一一比对,进而进行判断。
3.根据权利要求1所述的无特征加密文件检测方法,其特征在于:步骤s4中文件的有效数据区域中的数据是否离散的判断过程包括以下步骤:
s401判断有效数据区域中数据的大小是否大于10*m字节,其中m表示一份数据的大小,如果是,则从有效数据区域中均匀提取10份数据,每份数据的大小均为m字节;否则,按照每份数据大小为m字节从有效数据区域中提取多份数据,如果数据的大小小于m字节,则直接将所有数据提取为一份数据;
s402:针对提取的每一份数据通过数据离散判断规则判断其离散型,当每份数据均为离散时,判定文件的有效数据区域中数据离散。
4.根据权利要求1所述的无特征加密文件检测方法,其特征在于:步骤s5中文件是否为加密文件根据文件信息量是否满足加密文件信息量进行判断。
5.根据权利要求4所述的无特征加密文件检测方法,其特征在于:信息量通过信息熵进行度量,则文件是否为加密文件的判断过程包括以下步骤:
s51:将文件的头部中512字节的数据按照32字节每组分为16组;
s52:以字节为单位计算每组数据的信息熵;
s53:判断16组数据的信息熵是否都大于阈值,如果是,进入s54;否则,判断文件不是加密文件,结束;
s54:将文件的尾部中512字节的数据按照32字节每组分为16组;
s55:以字节为单位计算每组数据的信息熵;
s56:判断16组数据的信息熵是否都大于阈值,如果是,则判断文件为加密文件;否则,判断文件不是加密文件。
6.一种无特征加密文件检测终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~5中任一所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~5中任一所述方法的步骤。
技术总结