亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

0day漏洞的識(shí)別方法以及裝置制造方法

文檔序號(hào):6628889閱讀:466來(lái)源:國(guó)知局
0day漏洞的識(shí)別方法以及裝置制造方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種0day漏洞的識(shí)別方法以及裝置,涉及信息安全領(lǐng)域,主要目的在于快速、精確地檢測(cè)出0day漏洞,從而能夠保護(hù)計(jì)算機(jī)系統(tǒng)的安全。本發(fā)明的主要技術(shù)方案為:根據(jù)待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件;若為惡意文件,則將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),所述漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,所述漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng);若沒(méi)有得到漏洞編號(hào),則確定所述待檢測(cè)文件中的漏洞為0day漏洞。本發(fā)明主要應(yīng)用于識(shí)別0day漏洞的過(guò)程中。
【專(zhuān)利說(shuō)明】Oday漏洞的識(shí)別方法以及裝置

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息安全領(lǐng)域,特別是涉及一種Oday漏洞的識(shí)別方法以及裝置。

【背景技術(shù)】
[0002]隨著社會(huì)信息化的不斷發(fā)展,網(wǎng)絡(luò)安全漏洞也在不斷增加。當(dāng)發(fā)現(xiàn)存在漏洞時(shí),需要及時(shí)通過(guò)相關(guān)補(bǔ)丁對(duì)該漏洞進(jìn)行修復(fù)。該類(lèi)已經(jīng)發(fā)現(xiàn)并且已經(jīng)發(fā)布修復(fù)補(bǔ)丁的漏洞稱(chēng)為已知漏洞;而已經(jīng)發(fā)現(xiàn)但是還沒(méi)有給出相關(guān)補(bǔ)丁對(duì)該漏洞進(jìn)行修復(fù)的漏洞稱(chēng)為Oday漏洞。由于沒(méi)有及時(shí)對(duì)Oday漏洞進(jìn)行修復(fù),攻擊者可通過(guò)Oday漏洞獲得計(jì)算機(jī)系統(tǒng)的額外權(quán)限,使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或者破壞系統(tǒng),從而危害計(jì)算機(jī)系統(tǒng)的安全。
[0003]目前Oday漏洞的檢測(cè)方法基本上依靠人的經(jīng)驗(yàn)進(jìn)行判斷,該種判斷方式不能快速、精確地檢測(cè)出Oday漏洞,同時(shí)人工匹配的方式增加了對(duì)Oday漏洞的誤判率,從而使計(jì)算機(jī)系統(tǒng)的安全受到威脅。


【發(fā)明內(nèi)容】

[0004]有鑒于此,本發(fā)明提供一種Oday漏洞的識(shí)別方法以及裝置,主要目的在于快速、精確地檢測(cè)出Oday漏洞,從而能夠保護(hù)計(jì)算機(jī)系統(tǒng)的安全。
[0005]依據(jù)本發(fā)明一個(gè)方面,提供了一種Oday漏洞的識(shí)別方法,包括:
[0006]根據(jù)待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件;
[0007]若為惡意文件,則將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),所述漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,所述漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng);
[0008]若沒(méi)有得到漏洞編號(hào),則確定所述待檢測(cè)文件中的漏洞為Oday漏洞。
[0009]根據(jù)本發(fā)明的另一個(gè)方面,提供了一種Oday漏洞的識(shí)別裝置,包括:
[0010]第一確定單元,用于根據(jù)待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件;
[0011]查看單元,用于當(dāng)所述確定單元確定的所述待檢測(cè)文件為惡意文件時(shí),將所述待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),所述漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,所述漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng);
[0012]第二確定單元,用于當(dāng)所述查看單元沒(méi)有得到漏洞編號(hào)時(shí),確定所述待檢測(cè)文件中的漏洞為Oday漏洞。
[0013]借由上述技術(shù)方案,本發(fā)明提供的一種Oday漏洞的識(shí)別方法以及裝置,當(dāng)對(duì)漏洞進(jìn)行識(shí)別的時(shí)候,先根據(jù)待檢測(cè)文件的類(lèi)型確定該文件為惡意文件,若為惡意文件,則表明待檢測(cè)文件中一定有漏洞,再將有漏洞的文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),該漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),該已知漏洞數(shù)據(jù)庫(kù)中存儲(chǔ)有現(xiàn)有的所有已知漏洞,并且漏洞數(shù)據(jù)庫(kù)中的每一條漏洞信息都對(duì)應(yīng)漏洞唯一的檢測(cè)邏輯,將惡意文件通過(guò)漏洞數(shù)據(jù)庫(kù)中的漏洞檢測(cè)邏輯進(jìn)行檢測(cè),若能夠檢測(cè)出漏洞,那么該檢測(cè)出的漏洞一定是已知漏洞,若沒(méi)有檢測(cè)到漏洞,則該漏洞必定是Oday漏洞,整個(gè)過(guò)程按照規(guī)則流程自動(dòng)執(zhí)行,與現(xiàn)有技術(shù)中人工檢測(cè)Oday漏洞的方式相比快速、準(zhǔn)確。
[0014]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】。

【專(zhuān)利附圖】

【附圖說(shuō)明】
[0015]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:
[0016]圖1示出了本發(fā)明實(shí)施例提供的一種Oday漏洞的識(shí)別方法的流程圖;
[0017]圖2示出了本發(fā)明實(shí)施例提供的一種文件的類(lèi)型為html文件時(shí)的惡意文件的識(shí)別方法流程圖;
[0018]圖3示出了本發(fā)明實(shí)施例提供的一種文件的類(lèi)型為文檔文件時(shí)的惡意文件的識(shí)別方法流程圖;
[0019]圖4示出了本發(fā)明實(shí)施例提供的一種將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)的流程圖;
[0020]圖5示出了本發(fā)明實(shí)施例提供的一種漏洞基礎(chǔ)數(shù)據(jù)庫(kù)的建立方法的流程圖;
[0021]圖6示出了本發(fā)明實(shí)施例提供的一種Oday漏洞的識(shí)別裝置的組成框圖;
[0022]圖7示出了本發(fā)明實(shí)施例提供的另一種Oday漏洞的識(shí)別裝置的組成框圖;
[0023]圖8示出了本發(fā)明實(shí)施例提供的另一種Oday漏洞的識(shí)別裝置的組成框圖;
[0024]圖9示出了本發(fā)明實(shí)施例提供的另一種Oday漏洞的識(shí)別裝置的組成框圖;
[0025]圖10示出了本發(fā)明實(shí)施例提供的另一種Oday漏洞的識(shí)別裝置的組成框圖。

【具體實(shí)施方式】
[0026]下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0027]本發(fā)明實(shí)施例提供的一種Oday漏洞的識(shí)別方法,如圖1所示,該方法包括:
[0028]101、根據(jù)待檢測(cè)文件的類(lèi)型確定待檢測(cè)文件是否為惡意文件。
[0029]一種類(lèi)型的文件中往往存在多種漏洞,但是一種漏洞往往僅存在一種類(lèi)型的文件中,文件類(lèi)型的不同,其分析是否存在漏洞的方法不一樣,因此,可根據(jù)待檢測(cè)文件的類(lèi)型確定待檢測(cè)文件是否為惡意文件。
[0030]102、若為惡意文件,則將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng)。
[0031]其中,漏洞基礎(chǔ)數(shù)據(jù)庫(kù)根據(jù)經(jīng)驗(yàn)設(shè)定,該漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中記錄了所有已知漏洞的信息,漏洞編號(hào)為在建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)時(shí)設(shè)置的編號(hào),其唯一的標(biāo)識(shí)了一個(gè)漏洞;漏洞檢測(cè)邏輯為檢測(cè)并觸發(fā)漏洞威脅的方法。
[0032]當(dāng)根據(jù)待檢測(cè)文件的類(lèi)型確定待檢測(cè)文件為惡意文件時(shí),表明該待檢測(cè)文件中一定有漏洞,但是該漏洞是Oday漏洞,還是已知漏洞,需要將漏洞文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行匹配處理才能確定。
[0033]103、若沒(méi)有得到漏洞編號(hào),則確定待檢測(cè)文件中的漏洞為Oday漏洞。
[0034]將有漏洞文件與漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中的漏洞進(jìn)行匹配,當(dāng)有漏洞文件不能觸發(fā)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中的漏洞時(shí),確定有漏洞文件必定為Oday漏洞。
[0035]本發(fā)明實(shí)施例中,當(dāng)對(duì)漏洞進(jìn)行識(shí)別的時(shí)候,先根據(jù)待檢測(cè)文件的類(lèi)型確定該文件為惡意文件,若為惡意文件,則表明待檢測(cè)文件中一定有漏洞,再將有漏洞的文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),該漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),該已知漏洞數(shù)據(jù)庫(kù)中存儲(chǔ)有現(xiàn)有的所有已知漏洞,并且漏洞數(shù)據(jù)庫(kù)中的每一條漏洞信息都對(duì)應(yīng)漏洞唯一的檢測(cè)邏輯,將惡意文件通過(guò)漏洞數(shù)據(jù)庫(kù)中的漏洞檢測(cè)邏輯進(jìn)行檢測(cè),若能夠檢測(cè)出漏洞,那么該檢測(cè)出的漏洞一定是已知漏洞,若沒(méi)有檢測(cè)到漏洞,則該漏洞必定是Oday漏洞,整個(gè)過(guò)程按照規(guī)則流程自動(dòng)執(zhí)行,與現(xiàn)有技術(shù)中人工檢測(cè)Oday漏洞的方式相比快速、準(zhǔn)確。
[0036]本發(fā)明實(shí)施例的實(shí)施首先需要根據(jù)待檢測(cè)文件的類(lèi)型確定待檢測(cè)文件是否為惡意文件,正如前面的,不同的文件確定文件是否為惡意文件的方法不一樣,本發(fā)明實(shí)施例將對(duì)此進(jìn)行具體的描述。
[0037]當(dāng)獲取的待檢測(cè)文件的類(lèi)型為html文件時(shí),本發(fā)明實(shí)施例提供一種惡意文件的識(shí)別方法,如圖2所示,該方法包括:
[0038]201、檢測(cè)html文件中是否存在惡意特征,若存在惡意特征,則執(zhí)行202 ;若不存在惡意特征,則執(zhí)行203。
[0039]在檢測(cè)html文件是否為惡意文件時(shí),首先要檢測(cè)html文件中是否存在惡意特征,惡意特征可以包括但不局限于棧溢出、異常。除此之外,惡意特征還可以包括堆噴射。當(dāng)然,還可以包括任何一種惡意特征的種類(lèi),具體的本發(fā)明實(shí)施例對(duì)此不進(jìn)行限制。
[0040]202、確定html文件為惡意文件。
[0041]確定html文件為惡意文件,即確定該文件中存在漏洞。該html文件中的漏洞可能是Oday漏洞,也可能是已知漏洞,具體的還需對(duì)該html文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行檢測(cè)。
[0042]203、確定html文件為正常文件。
[0043]當(dāng)獲取的待檢測(cè)文件的類(lèi)型為文檔文件時(shí),本發(fā)明實(shí)施例提供一種惡意文件的識(shí)別方法,如圖3所示,該方法包括:
[0044]301、構(gòu)建指令虛擬機(jī)。
[0045]本發(fā)明實(shí)施例,文檔文件確定是否為惡意文件,通過(guò)指令虛擬機(jī),并在指令虛擬機(jī)上運(yùn)行該文檔文件實(shí)現(xiàn)。指令虛擬機(jī)的構(gòu)建可以通過(guò)但不局限于以下的方法實(shí)現(xiàn),該方法包括:
[0046]I)、設(shè)置用于按字節(jié)讀取文檔文件的指令讀取模塊;
[0047]2)、設(shè)置用于對(duì)指令讀取模塊讀取的文檔文件進(jìn)行解釋的解釋模塊;
[0048]3)、構(gòu)建指令運(yùn)行的模擬環(huán)境,模擬環(huán)境包括指令運(yùn)行的線(xiàn)程、進(jìn)程、棧、堆、系數(shù)數(shù)據(jù)和內(nèi)置系統(tǒng)API模擬;內(nèi)置系統(tǒng)API模擬包括文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)API。
[0049]302、在指令虛擬機(jī)中按字節(jié)運(yùn)行該文檔文件,記錄該文檔文件運(yùn)行的行為。
[0050]為了確保檢測(cè)文檔文件中的惡意指令沒(méi)有遺漏,在將文檔文件在指令虛擬機(jī)上運(yùn)行時(shí),采用按照字節(jié)將文檔文件讀入指令虛擬機(jī)進(jìn)行指令的運(yùn)行。例如,文檔的指令從O到100條,第一次讀取的時(shí)候從O開(kāi)始讀取,對(duì)讀取的內(nèi)容進(jìn)行識(shí)別;第二次從I開(kāi)始讀取——,確保任一種指令的組合都能夠被運(yùn)行。
[0051]303、將記錄的行為與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配,若匹配到對(duì)應(yīng)的行為,執(zhí)行304 ;若沒(méi)有匹配到對(duì)應(yīng)的行為,執(zhí)行305。
[0052]惡意行為規(guī)則庫(kù)根據(jù)經(jīng)驗(yàn)設(shè)定,惡意行為規(guī)則中包括:下載文件、訪問(wèn)線(xiàn)程環(huán)境塊以及進(jìn)程環(huán)境塊、試圖加載動(dòng)態(tài)庫(kù)、試圖獲取系統(tǒng)函數(shù)地址。惡意行為規(guī)則庫(kù)在實(shí)際應(yīng)用中可能不僅僅只包括上述惡意行為,也可能包括現(xiàn)有技術(shù)中的任一種惡意行為,具體的本發(fā)明實(shí)施例對(duì)此不進(jìn)行限制。
[0053]304、確定待檢測(cè)文件為惡意文件。
[0054]確定文檔文件為惡意文件,即確定該文件中存在漏洞。該文檔文件中的漏洞可能是Oday漏洞,也可能是已知漏洞,具體的還需對(duì)該文檔文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行檢測(cè)。
[0055]305、確定待檢測(cè)文件為正常文件。
[0056]本發(fā)明實(shí)施例提供的檢測(cè)惡意文件的識(shí)別方法,通過(guò)構(gòu)建指令虛擬機(jī),將文檔文件在指令虛擬機(jī)中按字節(jié)運(yùn)行,并與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配。與現(xiàn)有技術(shù)中通過(guò)在內(nèi)存中強(qiáng)行搜索一段惡意特征碼,若待檢測(cè)文件中存在此惡意特征碼,則為惡意文件相比,本發(fā)明實(shí)施例通過(guò)自動(dòng)與惡意行為規(guī)則庫(kù)進(jìn)行匹配,實(shí)現(xiàn)快速、自動(dòng)、精確地識(shí)別出惡意文件。
[0057]進(jìn)一步的,在執(zhí)行102將漏洞文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)時(shí),本發(fā)明實(shí)施例可以采用但不局限于以下的方法實(shí)現(xiàn),如圖4所示,該方法包括:
[0058]401、獲取待檢測(cè)文件的類(lèi)型。
[0059]本發(fā)明實(shí)施例中,在將已經(jīng)發(fā)現(xiàn)的漏洞進(jìn)行標(biāo)識(shí)存儲(chǔ)時(shí),往往會(huì)將漏洞存在的文件類(lèi)型以及漏洞一起標(biāo)識(shí)并存儲(chǔ),已便于后續(xù)漏洞的查詢(xún)。因此,在檢測(cè)文件中是否存在Oday漏洞時(shí),要先獲取該漏洞文件的類(lèi)型,基于文件的類(lèi)型再去獲取其他的相關(guān)信息。
[0060]在獲取該漏洞文件的類(lèi)型時(shí),可以采用但不局限于根據(jù)該漏洞文件名的后綴信息獲取該漏洞文件的類(lèi)型。除此之外,還可以采用通過(guò)文件類(lèi)型識(shí)別工具通過(guò)文件特征碼來(lái)識(shí)別該漏洞文件的類(lèi)型。當(dāng)然,還可以采用任何一種能夠獲取該漏洞文件類(lèi)型的方法,具體的本發(fā)明實(shí)施例在具體實(shí)施例對(duì)此不進(jìn)行限定,可以根據(jù)用戶(hù)的需求設(shè)置。
[0061]402、根據(jù)待檢測(cè)文件的類(lèi)型遍歷漏洞基礎(chǔ)數(shù)據(jù)庫(kù)獲取該類(lèi)型文件對(duì)應(yīng)的漏洞檢測(cè)邏輯。
[0062]其中,漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中包含有不同類(lèi)型的文件,一種類(lèi)型的文件中又包含有不同類(lèi)型的漏洞信息,每條漏洞信息都是唯一確定的。例如,當(dāng)所獲取該漏洞文件的文件類(lèi)型為html類(lèi)型時(shí),遍歷漏洞基礎(chǔ)數(shù)據(jù)庫(kù),獲取文件類(lèi)型為html的所有漏洞信息,并獲取所有漏洞信息中的漏洞檢測(cè)邏輯。
[0063]403、根據(jù)獲取的漏洞檢測(cè)邏輯對(duì)待檢測(cè)文件進(jìn)行檢測(cè)。
[0064]漏洞檢測(cè)邏輯為檢測(cè)并觸發(fā)漏洞威脅的方法,每一種類(lèi)型的漏洞都有一個(gè)唯一能夠觸發(fā)其威脅的方法。根據(jù)該檢測(cè)邏輯去檢測(cè)文件,確定其是否存在觸發(fā)漏洞的威脅,若能觸發(fā),則根據(jù)漏洞檢測(cè)邏輯確定該漏洞檢測(cè)邏輯對(duì)應(yīng)的漏洞編號(hào),從而識(shí)別出該漏洞文件的漏洞類(lèi)型。
[0065]綜上,本發(fā)明實(shí)施例的實(shí)施需要建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。本發(fā)明實(shí)施例提供一種漏洞基礎(chǔ)數(shù)據(jù)庫(kù)的建立方法,如圖5所示,包括:
[0066]501、獲取已識(shí)別的漏洞以及該漏洞的屬性信息,屬性信息包括漏洞編號(hào)、漏洞存在的文件類(lèi)型以及漏洞檢測(cè)邏輯。
[0067]其中,在獲取已識(shí)別的漏洞時(shí),可以是根據(jù)預(yù)定算法自動(dòng)獲取漏洞,也可以是系統(tǒng)維護(hù)者在工作的過(guò)程中經(jīng)驗(yàn)積累獲取,具體的本發(fā)明實(shí)施例對(duì)此不進(jìn)行限制。
[0068]502、將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
[0069]本發(fā)明實(shí)施例,通過(guò)不斷的向漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中存儲(chǔ)已識(shí)別的漏洞,使得漏洞基礎(chǔ)庫(kù)中的漏洞信息處于不斷更新中,在與漏洞文件進(jìn)行匹配時(shí),能夠快速、準(zhǔn)確、全面的識(shí)別該漏洞的類(lèi)型。
[0070]其中,將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù),可以通過(guò)但不局限于以下的方式實(shí)現(xiàn)。例如可以采用手動(dòng)的方式將已識(shí)別到的漏洞信息分別對(duì)漏洞編號(hào)、漏洞存在的文件類(lèi)型以及漏洞檢測(cè)邏輯進(jìn)行存儲(chǔ)。也可以采用自動(dòng)方式將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。具體的本發(fā)明實(shí)施例不進(jìn)行限制。本發(fā)明實(shí)施例優(yōu)選采用自動(dòng)存儲(chǔ)的方式,該方式的優(yōu)點(diǎn)在于能夠準(zhǔn)確、快速、無(wú)遺漏的將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
[0071]進(jìn)一步的,當(dāng)帶漏洞的文件觸發(fā)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)中的漏洞時(shí),根據(jù)漏洞檢測(cè)邏輯唯一的確定該漏洞文件中的漏洞。由于本發(fā)明提供的漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng),因此能夠精確檢測(cè)出帶漏洞文件的具體漏洞類(lèi)型,因而能夠快速的選擇對(duì)應(yīng)的修復(fù)方式,保護(hù)計(jì)算機(jī)系統(tǒng)的安全。
[0072]基于上述方法實(shí)施例,本發(fā)明實(shí)施例提供一種Oday漏洞的識(shí)別裝置,如圖6所示,該裝置包括:
[0073]第一確定單元61,用于根據(jù)待檢測(cè)文件的類(lèi)型確定待檢測(cè)文件是否為惡意文件;
[0074]查看單元62,用于當(dāng)確定單元確定待檢測(cè)文件為惡意文件時(shí),將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng);
[0075]第二確定單元63,用于當(dāng)查看單元62沒(méi)有得到漏洞編號(hào)時(shí),確定待檢測(cè)文件中的漏洞為Oday漏洞。
[0076]進(jìn)一步的,如圖7所示,當(dāng)待檢測(cè)文件為html文件時(shí),第一確定單元61包括:
[0077]檢測(cè)模塊611,用于檢測(cè)html文件中是否存在惡意特征;
[0078]第一確定模塊612,用于當(dāng)檢測(cè)模塊611檢測(cè)到html文件中存在惡意特征時(shí),確定html文件為惡意文件;
[0079]第一確定模塊612還用于,當(dāng)檢測(cè)模塊611檢測(cè)到html文件中不存在惡意特征時(shí),確定html文件為正常文件。
[0080]進(jìn)一步的,如圖8所示,當(dāng)待檢測(cè)文件為文檔文件時(shí),第一確定單元61還包括:
[0081]構(gòu)建模塊613,用于構(gòu)建指令虛擬機(jī);構(gòu)建模塊613包括:設(shè)置用于按字節(jié)讀取文檔文件的指令讀取模塊;設(shè)置用于對(duì)指令讀取模塊讀取的文檔文件進(jìn)行解釋的解釋模塊;構(gòu)建指令運(yùn)行的模擬環(huán)境,模擬環(huán)境包括指令運(yùn)行的線(xiàn)程、進(jìn)程、棧、堆、系數(shù)數(shù)據(jù)和內(nèi)置系統(tǒng)API模擬;內(nèi)置系統(tǒng)API模擬包括文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)API。
[0082]運(yùn)行模塊614,用于在構(gòu)建模塊613構(gòu)建的指令虛擬機(jī)中按字節(jié)運(yùn)行該文檔文件;
[0083]記錄模塊615,用于記錄運(yùn)行模塊614運(yùn)行該文檔文件運(yùn)行的行為;
[0084]匹配模塊616,用于將記錄模塊615記錄的行為與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配;
[0085]第二確定模塊617,用于當(dāng)匹配模塊616匹配到對(duì)應(yīng)的行為時(shí),確定待檢測(cè)文件為惡意文件;
[0086]第二確定模塊617還用于,當(dāng)匹配模塊616沒(méi)有匹配到對(duì)應(yīng)的行為,確定待檢測(cè)文件為正常文件。
[0087]進(jìn)一步的,查看單元62將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)時(shí),可以采用如下的方式實(shí)現(xiàn),具體包括:獲取待檢測(cè)文件的類(lèi)型;根據(jù)該漏洞文件的類(lèi)型遍歷漏洞基礎(chǔ)數(shù)據(jù)庫(kù)獲取該類(lèi)型文件對(duì)應(yīng)的漏洞檢測(cè)邏輯;根據(jù)獲取的漏洞檢測(cè)邏輯對(duì)待檢測(cè)文件進(jìn)行檢測(cè)。
[0088]進(jìn)一步的,如圖9所示,Oday漏洞的識(shí)別裝置還包括:
[0089]獲取單元64,用于在將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)之前,獲取已識(shí)別的漏洞以及該漏洞的屬性信息,屬性信息包括漏洞編號(hào)、漏洞存在的文件類(lèi)型以及漏洞檢測(cè)邏輯;
[0090]數(shù)據(jù)庫(kù)建立單元65,用于將獲取單元64獲取的每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
[0091]進(jìn)一步的,如圖10所示,Oday漏洞的識(shí)別裝置還包括:
[0092]第三確定單元66,用于當(dāng)查看單元62得到漏洞編號(hào)時(shí),唯一的確定待檢測(cè)文件中的漏洞。
[0093]本發(fā)明實(shí)施例在對(duì)漏洞進(jìn)行識(shí)別的時(shí)候,先根據(jù)待檢測(cè)文件的類(lèi)型確定該文件為惡意文件,若為惡意文件,則表明待檢測(cè)文件中一定有漏洞,再將有漏洞的文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),該漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),該已知漏洞數(shù)據(jù)庫(kù)中存儲(chǔ)有現(xiàn)有的所有已知漏洞,并且漏洞數(shù)據(jù)庫(kù)中的每一條漏洞信息都對(duì)應(yīng)漏洞唯一的檢測(cè)邏輯,將惡意文件通過(guò)漏洞數(shù)據(jù)庫(kù)中的漏洞檢測(cè)邏輯進(jìn)行檢測(cè),若能夠檢測(cè)出漏洞,那么該檢測(cè)出的漏洞一定是已知漏洞,若沒(méi)有檢測(cè)到漏洞,則該漏洞必定是Oday漏洞,整個(gè)過(guò)程按照規(guī)則流程自動(dòng)執(zhí)行,與現(xiàn)有技術(shù)中人工檢測(cè)Oday漏洞的方式相比快速、準(zhǔn)確。
[0094]進(jìn)一步的,本發(fā)明實(shí)施例提供的檢測(cè)惡意文件的識(shí)別方法,通過(guò)構(gòu)建指令虛擬機(jī),將文檔文件在指令虛擬機(jī)中按字節(jié)運(yùn)行,并與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配。與現(xiàn)有技術(shù)中通過(guò)在內(nèi)存中強(qiáng)行搜索一段惡意特征碼,若待檢測(cè)文件中存在此惡意特征碼,則為惡意文件相比,本發(fā)明實(shí)施例通過(guò)自動(dòng)與惡意行為規(guī)則庫(kù)進(jìn)行匹配,實(shí)現(xiàn)快速、自動(dòng)、精確地識(shí)別出惡意文件。
[0095]本發(fā)明實(shí)施例采用自動(dòng)方式將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù),該方式的優(yōu)點(diǎn)在于能夠準(zhǔn)確、快速、無(wú)遺漏的將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
[0096]進(jìn)一步的,本發(fā)明提供的漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng),因此能夠精確檢測(cè)出該漏洞文件的漏洞類(lèi)型,因而能夠快速的選擇對(duì)應(yīng)的修復(fù)方式,保護(hù)計(jì)算機(jī)系統(tǒng)的安全。
[0097]本發(fā)明的實(shí)施例還公開(kāi)了:
[0098]B11、根據(jù)權(quán)利要求BlO所述的裝置,其特征在于,所述構(gòu)建模塊包括:
[0099]設(shè)置用于按字節(jié)讀取文檔文件的指令讀取模塊;
[0100]設(shè)置用于對(duì)指令讀取模塊讀取的文檔文件進(jìn)行解釋的解釋模塊;
[0101]構(gòu)建指令運(yùn)行的模擬環(huán)境,所述模擬環(huán)境包括指令運(yùn)行的線(xiàn)程、進(jìn)程、棧、堆、系數(shù)數(shù)據(jù)和內(nèi)置系統(tǒng)API模擬;所述內(nèi)置系統(tǒng)API模擬包括文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)API。
[0102]B12、根據(jù)權(quán)利要求B8所述的裝置,其特征在于,所述查看單元將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)包括:
[0103]獲取所述待檢測(cè)文件的類(lèi)型;
[0104]根據(jù)所述待檢測(cè)文件的類(lèi)型遍歷漏洞基礎(chǔ)數(shù)據(jù)庫(kù)獲取該類(lèi)型文件對(duì)應(yīng)的漏洞檢測(cè)邏輯;
[0105]根據(jù)獲取的所述漏洞檢測(cè)邏輯對(duì)所述待檢測(cè)文件進(jìn)行檢測(cè)。
[0106]B13、根據(jù)權(quán)利要求B8-B12中任一項(xiàng)所述的裝置,其特征在于,還包括:
[0107]獲取單元,用于在將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)之前,獲取已識(shí)別的漏洞以及該漏洞的屬性信息,所述屬性信息包括漏洞編號(hào)、漏洞存在的文件類(lèi)型以及漏洞檢測(cè)邏輯;
[0108]數(shù)據(jù)庫(kù)建立單元,用于將所述獲取單元獲取的每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
[0109]B14、根據(jù)權(quán)利要求B8所述的裝置,其特征在于,還包括:
[0110]第三確定單元,用于當(dāng)所述查看單元得到漏洞編號(hào)時(shí),唯一的確定待檢測(cè)文件中的漏洞。
[0111]在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒(méi)有詳述的部分,可以參見(jiàn)其他實(shí)施例的相關(guān)描述。
[0112]可以理解的是,上述方法及裝置中的相關(guān)特征可以相互參考。另外,上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例,而并不代表各實(shí)施例的優(yōu)劣。
[0113]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡(jiǎn)潔,上述描述的系統(tǒng),裝置和單元的具體工作過(guò)程,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程,在此不再贅述。
[0114]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類(lèi)系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。
[0115]在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說(shuō)明書(shū)的理解。
[0116]類(lèi)似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō),如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此,遵循【具體實(shí)施方式】的權(quán)利要求書(shū)由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。
[0117]本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。
[0118]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。
[0119]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的Oday漏洞的識(shí)別方法以及裝置設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。
[0120]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱(chēng)。
【權(quán)利要求】
1.一種Oday漏洞的識(shí)別方法,其特征在于,包括: 根據(jù)待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件; 若為惡意文件,則將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),所述漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,所述漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng);若沒(méi)有得到漏洞編號(hào),則確定所述待檢測(cè)文件中的漏洞為Oday漏洞。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)所述待檢測(cè)文件為html文件時(shí),根據(jù)所述待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件包括: 檢測(cè)所述html文件中是否存在惡意特征; 若存在惡意特征,則確定所述html文件為惡意文件; 若不存在惡意特征,則確定所述html文件為正常文件。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)所述待檢測(cè)文件為文檔文件時(shí);根據(jù)所述待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件包括: 構(gòu)建指令虛擬機(jī); 在所述指令虛擬機(jī)中按字節(jié)運(yùn)行該文檔文件,記錄該文檔文件運(yùn)行的行為; 將記錄的行為與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配; 若匹配到對(duì)應(yīng)的行為,則確定所述待檢測(cè)文件為惡意文件; 若沒(méi)有匹配到對(duì)應(yīng)的行為,則確定所述待檢測(cè)文件為正常文件。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述構(gòu)建指令虛擬機(jī)包括: 設(shè)置用于按字節(jié)讀取文檔文件的指令讀取模塊; 設(shè)置用于對(duì)指令讀取模塊讀取的文檔文件進(jìn)行解釋的解釋模塊; 構(gòu)建指令運(yùn)行的模擬環(huán)境,所述模擬環(huán)境包括指令運(yùn)行的線(xiàn)程、進(jìn)程、棧、堆、系數(shù)數(shù)據(jù)和內(nèi)置系統(tǒng)API模擬;所述內(nèi)置系統(tǒng)API模擬包括文件、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)API。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)包括: 獲取所述待檢測(cè)文件的類(lèi)型; 根據(jù)所述待檢測(cè)文件的類(lèi)型遍歷漏洞基礎(chǔ)數(shù)據(jù)庫(kù)獲取該類(lèi)型文件對(duì)應(yīng)的漏洞檢測(cè)邏輯; 根據(jù)獲取的所述漏洞檢測(cè)邏輯對(duì)所述待檢測(cè)文件進(jìn)行檢測(cè)。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法,其特征在于,在將待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù)之前還包括: 獲取已識(shí)別的漏洞以及該漏洞的屬性信息,所述屬性信息包括漏洞編號(hào)、漏洞存在的文件類(lèi)型以及漏洞檢測(cè)邏輯; 將每個(gè)已識(shí)別漏洞的屬性信息以一條記錄的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中建立漏洞基礎(chǔ)數(shù)據(jù)庫(kù)。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括: 若得到漏洞編號(hào),則唯一的確定待檢測(cè)文件中的漏洞。
8.—種Oday漏洞的識(shí)別裝置,其特征在于,包括: 第一確定單元,用于根據(jù)待檢測(cè)文件的類(lèi)型確定所述待檢測(cè)文件是否為惡意文件; 查看單元,用于當(dāng)所述確定單元確定所述待檢測(cè)文件為惡意文件時(shí),將所述待檢測(cè)文件過(guò)漏洞基礎(chǔ)數(shù)據(jù)庫(kù),查看是否能夠得到漏洞編號(hào),所述漏洞基礎(chǔ)數(shù)據(jù)庫(kù)為已知漏洞數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中每條漏洞信息包括漏洞所在文件的文件類(lèi)型、漏洞編號(hào)以及漏洞檢測(cè)邏輯,所述漏洞編號(hào)和漏洞檢測(cè)邏輯均唯一并且一一對(duì)應(yīng); 第二確定單元,用于當(dāng)所述查看單元沒(méi)有得到漏洞編號(hào)時(shí),確定所述待檢測(cè)文件中的漏洞為Oday漏洞。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,當(dāng)所述待檢測(cè)文件為html文件時(shí),所述第一確定單元包括: 檢測(cè)模塊,用于檢測(cè)所述html文件中是否存在惡意特征; 第一確定模塊,用于當(dāng)檢測(cè)模塊檢測(cè)到所述html文件中存在惡意特征時(shí),確定所述html文件為惡意文件; 所述第一確定模塊還用于,當(dāng)檢測(cè)模塊檢測(cè)到所述html文件中不存在惡意特征時(shí),確定所述html文件為正常文件。
10.根據(jù)權(quán)利要求8所述的裝置,其特征在于,當(dāng)所述待檢測(cè)文件為文檔文件時(shí),所述第一確定單元還包括: 構(gòu)建模塊,用于構(gòu)建指令虛擬機(jī); 運(yùn)行模塊,用于在所述構(gòu)建模塊構(gòu)建的指令虛擬機(jī)中按字節(jié)運(yùn)行該文檔文件; 記錄模塊,用于記錄該文檔文件運(yùn)行的行為; 匹配模塊,用于將記錄模塊記錄的行為與預(yù)定義的惡意行為規(guī)則庫(kù)中的行為進(jìn)行匹配; 第二確定模塊,用于當(dāng)所述匹配模塊匹配到對(duì)應(yīng)的行為時(shí),確定所述待檢測(cè)文件為惡意文件; 所述第二確定模塊還用于,當(dāng)所述匹配模塊沒(méi)有匹配到對(duì)應(yīng)的行為,確定所述待檢測(cè)文件為正常文件。
【文檔編號(hào)】G06F21/56GK104239796SQ201410510398
【公開(kāi)日】2014年12月24日 申請(qǐng)日期:2014年9月28日 優(yōu)先權(quán)日:2014年9月28日
【發(fā)明者】唐海, 陳卓, 邢超, 楊康 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1