RDP文件的安全检测方法、装置、电子设备及存储介质与流程

rdp文件的安全检测方法、装置、电子设备及存储介质
技术领域
1.本发明实施例涉及网络安全防护技术领域，特别涉及一种rdp文件的安全检测方法、装置、电子设备及存储介质。


背景技术：

2.随着计算机技术在社会生活中各个领域的广泛运用，病毒也如同其附属品一样接踵而来。由于这些病毒所具有的感染性、复制性及破坏性，使得其已成为困扰计算机使用的一个重大问题。
3.相关技术中，不法分子会利用邮件、聊天等方式，诱导用户点击相关链接，进而加载恶意的rdp(remote desktop protocol，远程桌面协议)文件，如此会导致用户机和由不法分子控制的远程服务器建立连接，此时不法分子可以通过远程服务器来控制用户机执行相关恶意操作。
4.因此，有必要对rdp文件的安全性进行有效检测。


技术实现要素：

5.为了解决难以实现对恶意的rdp文件的有效安全检测的问题，本发明实施例提供了一种rdp文件的安全检测方法、装置、电子设备及存储介质。
6.第一方面，本发明实施例提供了一种rdp文件的安全检测方法，包括：
7.基于已知rdp文件的所有配置项，确定安全检测策略；
8.响应于获取到待测rdp文件，对所述待测rdp文件进行解析，得到所述待测rdp文件的配置项；
9.基于所述安全检测策略和所述待测rdp文件的配置项，对所述待测rdp文件进行安全检测。
10.在一种可能的设计中，所述基于已知rdp文件的所有配置项，确定安全检测策略，包括：
11.获取针对已知rdp文件的每一个配置项赋予的分值；
12.获取针对所述已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
13.基于所述分值和所述第一结果，确定与每一个威胁等级对应的参考阈值；
14.基于与每一个威胁等级对应的参考阈值，确定安全检测策略。
15.在一种可能的设计中，所述基于所述分值和所述第一结果，确定与每一个威胁等级对应的参考阈值，包括：
16.采用如下公式确定与每一个威胁等级对应的参考阈值:
[0017][0018]
其中，vi为第i个威胁等级的参考阈值，c
ij
为第i个威胁等级中第j个配置项的分
值，n为第i个威胁等级中的配置项的总个数。
[0019]
在一种可能的设计中，在所述获取针对已知rdp文件的每一个配置项赋予的分值之后，还包括：
[0020]
基于所述已知rdp文件的所有配置项和与每一个配置项对应的分值，得到配置项分值库；
[0021]
所述基于所述安全检测策略和所述待测rdp文件的配置项，对所述待测rdp文件进行安全检测，包括：
[0022]
基于所述配置项分值库和所述待测rdp文件的配置项，得到所述待测rdp文件的安全评估值；
[0023]
基于所述安全评估值和所述安全检测策略，对所述待测rdp文件进行安全检测。
[0024]
在一种可能的设计中，所述基于所述配置项分值库和所述待测rdp文件的配置项，得到所述待测rdp文件的安全评估值，包括：
[0025]
采用如下公式得到所述待测rdp文件的安全评估值：
[0026][0027]
其中，s为所述待测rdp文件的安全评估值，dj为所述待测rdp文件中第j个配置项的分值，k为所述待测rdp文件中的配置项的总个数。
[0028]
在一种可能的设计中，所述基于所述安全评估值和所述安全检测策略，对所述待测rdp文件进行安全检测，包括：
[0029]
将所述安全评估值和所述安全检测策略包括的与每一个威胁等级对应的参考阈值进行比对，得到所述待测rdp文件的威胁等级，以完成对所述待测rdp文件的安全检测。
[0030]
在一种可能的设计中，所述基于已知rdp文件的所述配置项，确定安全检测策略，包括：
[0031]
获取针对所述已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0032]
基于所述第一结果，确定安全检测策略；
[0033]
所述基于所述安全检测策略和所述待测rdp文件的配置项，对所述待测rdp文件进行安全检测，包括：
[0034]
获取针对所述待测rdp文件的配置项进行的威胁等级分类的第二结果；其中，针对所述待测rdp文件的配置项进行的威胁等级分类的方式与针对所述已知rdp文件的所有配置项进行的威胁等级分类的方式相同；
[0035]
基于所述安全检测策略和所述第二结果，对所述待测rdp文件进行安全检测。
[0036]
第二方面，本发明实施例还提供了一种rdp文件的安全检测装置，包括：
[0037]
确定模块，用于基于已知rdp文件的所有配置项，确定安全检测策略；
[0038]
解析模块，用于响应于获取到待测rdp文件，对所述待测rdp文件进行解析，得到所述待测rdp文件的配置项；
[0039]
检测模块，用于基于所述安全检测策略和所述待测rdp文件的配置项，对所述待测rdp文件进行安全检测。
[0040]
第三方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储
器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
[0041]
第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
[0042]
本发明实施例提供了一种rdp文件的安全检测方法、装置、电子设备及存储介质，首先基于已知rdp文件的所有配置项来确定安全检测策略，然后在获取到待测rdp文件时，对待测rdp文件进行解析并得到待测rdp文件的配置项，最后基于确定的安全检测策略和待测rdp文件的配置项，对待测rdp文件进行安全检测，如此可以确定待测rdp文件是否为恶意的rdp文件，从而可以实现对恶意的rdp文件的有效检测。
附图说明
[0043]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0044]
图1是本发明一实施例提供的一种rdp文件的安全检测方法流程图；
[0045]
图2是本发明一实施例提供的另一种rdp文件的安全检测方法流程图；
[0046]
图3是本发明一实施例提供的又一种rdp文件的安全检测方法流程图；
[0047]
图4是本发明一实施例提供的一种电子设备的硬件架构图；
[0048]
图5是本发明一实施例提供的一种rdp文件的安全检测装置结构图。
具体实施方式
[0049]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0050]
如前所述，不法分子会利用邮件、聊天等方式，诱导用户点击相关链接，进而加载恶意的rdp(remote desktop protocol，远程桌面协议)文件，如此会导致用户机和由不法分子控制的远程服务器建立连接，此时不法分子可以通过远程服务器来控制用户机执行相关恶意操作。
[0051]
具体地，不法分子可能在加载的恶意的rdp文件中事先预置了驱动器映射、usb设备映射、打印机映射和剪贴板映射等配置项，这样不法分子就能够通过操控远程服务器来对用户机执行相关恶意操作，例如窃取用户机中的重要文件内容。
[0052]
为了解决该技术问题，发明人考虑可以利用已知rdp文件的配置项确定用于检测待测rdp的安全检测策略，这样当检测到待测rdp文件后，可以通过解析待测rdp文件的配置项和上述确定的安全检测策略，来完成对待测rdp文件的安全检测，从而可以利用安全检测的结果来阻止恶意的rdp文件的加载。
[0053]
下面描述以上构思的具体实现方式。
[0054]
请参考图1，本发明实施例提供了一种rdp文件的安全检测方法，该方法包括：
[0055]
步骤100：基于已知rdp文件的所有配置项，确定安全检测策略；
[0056]
步骤102：响应于获取到待测rdp文件，对待测rdp文件进行解析，得到待测rdp文件的配置项；
[0057]
步骤104：基于安全检测策略和待测rdp文件的配置项，对待测rdp文件进行安全检测。
[0058]
本发明实施例中，首先基于已知rdp文件的所有配置项来确定安全检测策略，然后在获取到待测rdp文件时，对待测rdp文件进行解析并得到待测rdp文件的配置项，最后基于确定的安全检测策略和待测rdp文件的配置项，对待测rdp文件进行安全检测，如此可以确定待测rdp文件是否为恶意的rdp文件，从而可以实现对恶意的rdp文件的有效检测。
[0059]
下面描述图1所示的各个步骤的执行方式。
[0060]
针对步骤100：
[0061]
在步骤100中，本发明实施例提供了两种确定安全检测策略的方式，下面对这两种方式的安全检测策略进行描述。
[0062]
方式一：
[0063]
在方式一中，步骤100可以包括：
[0064]
步骤a1、获取针对已知rdp文件的每一个配置项赋予的分值。
[0065]
在本步骤中，技术人员可以事先列出已知rdp文件中的所有配置项，然后根据先验知识(例如专家安全知识库)对每一个配置项的安全性进行打分(即赋予分值)，从而使用户机可以获取到针对已知rdp文件的每一个配置项赋予的分值。
[0066]
在一些实施方式中，用户机获取到的针对已知rdp文件的每一个配置项赋予的分值可以参见表1。需要说明的是，表1中只列出了已知rdp文件的部分配置项及其分值。
[0067]
表1
[0068]
配置项分值drivestoredirect-驱动器映射100redirectclipboard-剪贴板映射85usbdevicestoredirect-usb设备映射80redirectprinters-打印机映射75redirectsmartcards-智能卡映射10remoteapplicationicon-远程应用图标1screen mode id-屏幕显示模式1
[0069]
步骤a2、获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果。
[0070]
在本步骤中，例如可以将威胁等级分为三类，即高安全威胁、中安全威胁、低安全威胁。当然，也可以分为数量更多或更少的威胁等级，在此对威胁等级的数量不进行限定。
[0071]
在一些实施方式中，高安全威胁例如可以包括驱动器映射、剪贴板映射、usb设备映射和打印机映射等配置项，中安全威胁例如可以包括智能卡映射等配置项，低安全威胁例如可以包括远程应用图标和屏幕显示模式等配置项。
[0072]
在一些实施方式中，用户机获取到的针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果可以参见表2。需要说明的是，表2中只列出了与表1相同的已知rdp文
件的部分配置项及其威胁等级。
[0073]
表2
[0074][0075]
另外，在此对步骤a1和a2的先后顺序不做具体限定，即可以先执行步骤a1后执行步骤a2，也可以先执行步骤a2后执行步骤a1。
[0076]
步骤a3、基于分值和第一结果，确定与每一个威胁等级对应的参考阈值。
[0077]
经过步骤a1和a2之后，每一个威胁等级中的配置项均被赋予了分值，这样可以确定每一个威胁等级的参考阈值，以利于后续对待测rdp文件的安全检测。
[0078]
在一些实施方式中，步骤a3可以采用如下公式确定与每一个威胁等级对应的参考阈值：
[0079][0080]
其中，vi为第i个威胁等级的参考阈值，c
ij
为第i个威胁等级中第j个配置项的分值，n为第i个威胁等级中的配置项的总个数。
[0081]
举例来说，如表1和表2所示，可以利用上述公式分别计算高安全威胁、中安全威胁和低安全威胁的威胁等级所对应的参考阈值，从而可以计算得到高安全威胁、中安全威胁和低安全威胁的参考阈值分别为85、10和1。
[0082]
需要说明的是，将每一个威胁等级中配置项的均值作为参考阈值，可以避免当威
胁等级划分较少且每一个威胁等级中不同配置项的分值差距较大时，仍然能够得到更加客观和准确的各威胁等级的参考阈值，以此来提高安全检测的准确度。
[0083]
在本步骤中，每一个威胁等级的参考阈值也可以采用其它方式确定，例如可以将每一个威胁等级中配置项的最低分值作为该威胁等级的参考阈值。或者，也可以将每一个威胁等级中配置项的中值作为该威胁等级的参考阈值，故在此对参考阈值的确定方式不进行限定。
[0084]
步骤a4、基于与每一个威胁等级对应的参考阈值，确定安全检测策略。
[0085]
在一些实施方式中，安全检测策略可以是：根据待测rdp文件中配置项的分值和每一个威胁等级对应的参考阈值，来确定待测rdp文件的威胁等级。
[0086]
其中，在确定出待测rdp文件的威胁等级后，还可以执行对应威胁等级的相关操作，例如禁止运行、弹框后由用户选择是否运行、允许运行等操作。
[0087]
另外，在一些实施方式中，为了使待测rdp文件中的配置项方便匹配分值，在步骤a1之后，还包括：
[0088]
基于已知rdp文件的所有配置项和与每一个配置项对应的分值，得到配置项分值库。
[0089]
那么，在解析完待测rdp文件的配置项之后，就可以利用配置项分值库直接匹配得到待测rdp文件的配置项的分值，以此来提高安全检测的检测速度。
[0090]
综上，方式一利用对已知rdp文件的每一个配置项赋予分值和进行威胁等级分类的方式，来计算与每一个威胁等级对应的参考阈值，进而通过参考阈值来制定安全检测策略。这样，在后续对待测rdp文件进行安全检测时，就可以根据待测rdp文件中配置项的分值和该安全检测策略，得到待测rdp的安全检测结果。
[0091]
方式二：
[0092]
在方式二中，步骤100可以包括：
[0093]
步骤b1、获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0094]
步骤b2、基于第一结果，确定安全检测策略。
[0095]
在本实施例中，当检测到待测rdp文件时，可以根据待测rdp文件中配置项与第一结果中已知rdp文件的所有配置项进行匹配，以确定待测rdp文件安全检测结果。
[0096]
针对步骤102：
[0097]
在本步骤中，当检测到待测rdp文件时，用户机会获取待测rdp文件，并对待测rdp文件进行解析，来得到待测rdp文件中的配置项，然后利用步骤100中确定的安全检测策略和解析得到的待测rdp文件的配置项，来对待测rdp文件进行安全检测。在此，本发明实施例对待测rdp文件的解析方式不进行具体限定，例如可以是正则匹配。
[0098]
针对步骤104：
[0099]
对于方式一而言，步骤104可以包括：
[0100]
步骤c1、基于配置项分值库和待测rdp文件的配置项，得到待测rdp文件的安全评估值。
[0101]
在本步骤中，利用配置项分值库对步骤102解析得到的待测rdp文件的配置项进行分值匹配，然后利用待测rdp文件的配置项的分值来计算安全评估值，以对待测rdp文件进行安全检测。
[0102]
在一些实施方式中，可以采用如下公式得到待测rdp文件的安全评估值：
[0103][0104]
其中，s为待测rdp文件的安全评估值，dj为待测rdp文件中第j个配置项的分值，k为待测rdp文件中的配置项的总个数。
[0105]
在本实施例中，将待测rdp文件中所有配置项的分值之和作为待测rdp文件的安全评估值，相比将待测rdp文件中所有配置项的分值的平均值、最高值、最低值等数值作为待测rdp文件的安全评估值，前者可以防止当待测rdp文件的配置项的数目较少且不同配置项的分值差距较大时，仍然能够得到更加客观和准确的用于表征待测rdp文件的威胁等级的安全评估值，这样提高了待测rdp安全检测的准确度。
[0106]
当然，待测rdp文件的安全评估值也可以采用其它方式确定，例如可以将待测rdp文件中所有配置项的均值或配置项中的最高分值作为安全评估值，故在此对安全评估值的确定方式不进行限定。
[0107]
步骤c2、基于安全评估值和安全检测策略，对待测rdp文件进行安全检测。
[0108]
在一些实施方式中，可以将安全评估值和安全检测策略包括的与每一个威胁等级对应的参考阈值进行比对，得到待测rdp文件的威胁等级，以完成对待测rdp文件的安全检测。
[0109]
举例来说，将步骤c1中得到的安全评估值与步骤100中方式一确定的各威胁等级对应的参考阈值进行比较，若安全评估值大于等于高安全威胁的参考阈值，即s≥v3时，则待测rdp文件的威胁等级为高安全威胁级别；若安全评估值大于等于中安全威胁的参考阈值，且小于高安全威胁的参考阈值，即s《v3且s≥v2时，则待测rdp文件的威胁等级为中安全威胁级别；若安全评估值大于等于低安全威胁的参考阈值，且小于中安全威胁的参考阈值，即s《v2且s≥v1时，则待测rdp文件的威胁等级为低安全威胁级别。之后，就可以得到待测rdp文件的安全检测结果，即待测rdp文件的威胁等级，并根据待测rdp文件的威胁等级来执行对应的操作，例如禁止运行、弹框后由用户选择是否运行、允许运行等操作。
[0110]
综上，方式一利用配置项分值库来得到待测rdp文件的配置项的分值，并根据待测rdp文件的配置项的分值来确定待测rdp文件的安全评估值，通过将安全评估值和安全检测策略包括的与每一个威胁等级对应的参考阈值进行比对，得到待测rdp文件的威胁等级，以完成对待测rdp文件的安全检测。
[0111]
对于方式二而言，步骤104可以包括：
[0112]
步骤d1、获取针对待测rdp文件的配置项进行的威胁等级分类的第二结果；其中，针对待测rdp文件的配置项进行的威胁等级分类的方式与针对已知rdp文件的所有配置项进行的威胁等级分类的方式相同；
[0113]
步骤d2、基于安全检测策略和第二结果，对待测rdp文件进行安全检测。
[0114]
在本步骤中，可以将第二结果中待测rdp文件的所有配置项中所处威胁等级最多的威胁等级，确定为待测rdp文件的威胁等级，也可以将待测rdp文件的所有配置项中所处的最高威胁等级，确定为待测rdp文件的威胁等级故，在此对确定安全结果的方式不进行限定。
[0115]
需要说明的是，本实施例提供的安全检测方法，不仅可以作为单独应用程序来检测rdp文件的安全性，也可以集成到安全防护软件，来检测rdp文件的安全性。
[0116]
图2示出根据另一个实施例的rdp文件的安全检测方法的流程图。参见图2，该方法包括：
[0117]
步骤200：获取针对已知rdp文件的每一个配置项赋予的分值；
[0118]
步骤202：基于已知rdp文件的所有配置项和与每一个配置项对应的分值，得到配置项分值库；
[0119]
步骤204：获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0120]
步骤206：基于分值和第一结果，确定与每一个威胁等级对应的参考阈值；
[0121]
步骤208：基于与每一个威胁等级对应的参考阈值，确定安全检测策略；
[0122]
步骤210：响应于获取到待测rdp文件，对待测rdp文件进行解析，得到待测rdp文件的配置项；
[0123]
步骤212：基于配置项分值库和待测rdp文件的配置项，得到待测rdp文件的安全评估值；
[0124]
步骤214：将安全评估值和安全检测策略包括的与每一个威胁等级对应的参考阈值进行比对，得到待测rdp文件的威胁等级，以完成对所述待测rdp文件的安全检测。
[0125]
图3示出根据又一个实施例的rdp文件的安全检测方法的流程图。参见图3，该方法包括：
[0126]
步骤300：获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0127]
步骤302：基于第一结果，确定安全检测策略；
[0128]
步骤304：响应于获取到待测rdp文件，对待测rdp文件进行解析，得到待测rdp文件的配置项；
[0129]
步骤306：获取针对待测rdp文件的配置项进行的威胁等级分类的第二结果；其中，针对待测rdp文件的配置项进行的威胁等级分类的方式与针对已知rdp文件的所有配置项进行的威胁等级分类的方式相同；
[0130]
步骤308：基于安全检测策略和第二结果，对待测rdp文件进行安全检测。
[0131]
在本发明实施例中，首先获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；当解析到待测rdp文件的配置项时，使用与针对已知rdp文件的所有配置项进行的威胁等级分类的方式相同的分类方式，对待测rdp文件的配置项进行威胁等级分类，获得第二结果；根据第二结果中待测rdp文件的各配置项的威胁等级来确定待测rdp文件的安全检测结果。
[0132]
其中，在安全检测策略中，可以将第二结果中待测rdp文件的所有配置项中所处威胁等级最多的威胁等级，确定为待测rdp文件的威胁等级，也可以将待测rdp文件的所有配置项中所处的最高威胁等级，确定为待测rdp文件的威胁等级。
[0133]
如图4、图5所示，本发明实施例提供了一种rdp文件的安全检测装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图4所示，为本发明实施例提供的一种rdp文件的安全检测装置所在电子设备的一种硬件架构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，
如图5所示，作为一个逻辑意义上的装置，是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
[0134]
如图5所示，本实施例提供的一种rdp文件的安全检测装置，包括：
[0135]
确定模块500，用于基于已知rdp文件的所有配置项，确定安全检测策略；
[0136]
解析模块502，用于响应于获取到待测rdp文件，对待测rdp文件进行解析，得到待测rdp文件的配置项；
[0137]
检测模块504，用于基于安全检测策略和待测rdp文件的配置项，对待测rdp文件进行安全检测。
[0138]
在本发明的一个实施例中，确定模块500，用于执行如下操作：
[0139]
获取针对已知rdp文件的每一个配置项赋予的分值；
[0140]
获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0141]
基于分值和第一结果，确定与每一个威胁等级对应的参考阈值；
[0142]
基于与每一个威胁等级对应的参考阈值，确定安全检测策略。
[0143]
在本发明的一个实施例中，确定模块500，用于执行如下操作：
[0144]
采用如下公式确定与每一个威胁等级对应的参考阈值:
[0145][0146]
其中，vi为第i个威胁等级的参考阈值，c
ij
为第i个威胁等级中第j个配置项的分值，n为第i个威胁等级中的配置项的总个数。
[0147]
在本发明的一个实施例中，确定模块500，在执行获取针对已知rdp文件的每一个配置项赋予的分值后，还用于执行如下操作：
[0148]
基于已知rdp文件的所有配置项和与每一个配置项对应的分值，得到配置项分值库；
[0149]
在本发明的一个实施例中，检测模块504，用于执行如下操作：
[0150]
基于配置项分值库和待测rdp文件的配置项，得到待测rdp文件的安全评估值；
[0151]
基于安全评估值和安全检测策略，对待测rdp文件进行安全检测。
[0152]
在本发明的一个实施例中，检测模块504，用于执行如下操作：
[0153]
采用如下公式得到待测rdp文件的安全评估值：
[0154][0155]
其中，s为待测rdp文件的安全评估值，dj为待测rdp文件中第j个配置项的分值，k为待测rdp文件中的配置项的总个数。
[0156]
在本发明的一个实施例中，检测模块504，用于执行如下操作：
[0157]
将安全评估值和安全检测策略包括的与每一个威胁等级对应的参考阈值进行比对，得到待测rdp文件的威胁等级，以完成对所述待测rdp文件的安全检测。
[0158]
在本发明的一个实施例中，确定模块500，用于执行如下操作：
[0159]
获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；
[0160]
基于第一结果，确定安全检测策略。
[0161]
在本发明的一个实施例中，检测模块504，用于执行如下操作：
[0162]
获取针对待测rdp文件的配置项进行的威胁等级分类的第二结果；其中，针对待测rdp文件的配置项进行的威胁等级分类的方式与针对已知rdp文件的所有配置项进行的威胁等级分类的方式相同；
[0163]
基于安全检测策略和第二结果，对待测rdp文件进行安全检测。
[0164]
可以理解的是，本发明实施例示意的结构并不构成对一种rdp文件的安全检测装置的具体限定。在本发明的另一些实施例中，一种rdp文件的安全检测装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
[0165]
上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0166]
本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种rdp文件的安全检测方法。
[0167]
本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种rdp文件的安全检测方法。
[0168]
具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
[0169]
在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0170]
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
[0171]
此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
[0172]
此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
[0173]
综上所述，本发明提供了一种rdp文件的安全检测方法、装置、电子设备及存储介质，本发明至少具有如下有益效果：
[0174]
1、在本发明的一个实施例中，首先基于已知rdp文件的所有配置项来确定安全检测策略，然后在获取到待测rdp文件时，对待测rdp文件进行解析并得到待测rdp文件的配置项，最后基于确定的安全检测策略和待测rdp文件的配置项，对待测rdp文件进行安全检测，如此可以确定待测rdp文件是否为恶意的rdp文件，从而可以实现对恶意的rdp文件的有效
检测。
[0175]
2、在本发明的一个实施例中，将每一个威胁等级中配置项的均值作为参考阈值，可以避免当威胁等级划分较少且每一个威胁等级中不同配置项的分值差距较大时，仍然能够得到更加客观和准确的各威胁等级的参考阈值，以此来提高安全检测的准确度。
[0176]
3、在本发明的一个实施例中，利用对已知rdp文件的每一个配置项赋予分值和进行威胁等级分类的方式，来计算与每一个威胁等级对应的参考阈值，进而通过参考阈值来制定安全检测策略。这样，在后续对待测rdp文件进行安全检测时，就可以根据待测rdp文件中配置项的分值和该安全检测策略，得到待测rdp的安全检测结果。
[0177]
4、在本发明的一个实施例中，将待测rdp文件中所有配置项的分值之和作为待测rdp文件的安全评估值，相比将待测rdp文件中所有配置项的分值的平均值、最高值、最低值等数值作为待测rdp文件的安全评估值，前者可以防止当待测rdp文件的配置项的数目较少且不同配置项的分值差距较大时，仍然能够得到更加客观和准确的用于表征待测rdp文件的威胁等级的安全评估值，这样提高了待测rdp安全检测的准确度。
[0178]
5、在本发明的一个实施例中，首先获取针对已知rdp文件的所有配置项进行的威胁等级分类的第一结果；当解析到待测rdp文件的配置项时，使用与针对已知rdp文件的所有配置项进行的威胁等级分类的方式相同的分类方式，对待测rdp文件的配置项进行威胁等级分类，获得第二结果；根据第二结果中待测rdp文件的各配置项的威胁等级来确定待测rdp文件的安全检测结果。
[0179]
需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0180]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
[0181]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。