本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,具體涉及一種漏洞挖掘檢測(cè)方法、服務(wù)器、裝置和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,人們對(duì)于網(wǎng)絡(luò)的使用愈加頻繁,通過網(wǎng)絡(luò)可以進(jìn)行工作、學(xué)習(xí)、生活、娛樂等多方面的事宜,給人們帶來了極大的便利。然而,人們?cè)谑褂没ヂ?lián)網(wǎng)的過程中所用到的很多文件存在漏洞,這些文件的漏洞給惡意開發(fā)者以可乘之機(jī),惡意開發(fā)者們可以利用這些文件的漏洞對(duì)文件所在的客戶端進(jìn)行攻擊,獲取客戶端的用戶的個(gè)人信息,威脅客戶端的用戶的信息安全,給用戶的人身、財(cái)產(chǎn)等方面損失。
因此,如何有效、全面地對(duì)互聯(lián)網(wǎng)中的文件的漏洞進(jìn)行挖掘和檢測(cè),是當(dāng)前亟待解決的重要問題。
技術(shù)實(shí)現(xiàn)要素:
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的漏洞挖掘檢測(cè)方法、服務(wù)器、裝置和系統(tǒng)。
依據(jù)本發(fā)明的一個(gè)方面,提供了一種漏洞挖掘檢測(cè)方法,該方法包括:
獲取客戶端上傳的可疑樣本日志;
對(duì)所獲取到的可疑樣本日志進(jìn)行去重;
對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
可選地,每條可疑樣本日志中包括:樣本的簽名信息;
則所述對(duì)所獲取到的可疑樣本日志進(jìn)行去重包括:根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
可選地,所述樣本的簽名信息包括:樣本的MD5值,或者,樣本的SHA1值。
可選地,每條可疑樣本日志中還包括:樣本的地址信息;
所述將該可疑樣本日志輸入沙箱中進(jìn)行掃描,得到掃描日志包括:
將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
可選地,可疑樣本日志對(duì)應(yīng)的樣本為SWF文件;樣本的地址信息為SWF文件的URL地址;
則所述將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可以樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志包括:將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址對(duì)SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;
所述根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞包括:根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。
可選地,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址;
該方法進(jìn)一步包括:當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。
可選地,其中,每條可疑樣本日志中還包括:樣本的源信息;
則所述關(guān)于該樣本的報(bào)警信息中包括:該樣本的源信息,以指示該樣本的最初來源。
可選地,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
可選地,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間;
所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
依據(jù)本發(fā)明的另一個(gè)方面,提供了一種漏洞挖掘檢測(cè)方法,該方法包括:
響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè);
當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可選地,所述對(duì)該指定類型文件進(jìn)行檢測(cè)包括:記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè);
所述當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器包括:當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可選地,所述關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:
該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
可選地,所述指定應(yīng)用為瀏覽器;所述指定類型文件為SWF文件。
依據(jù)本發(fā)明的又一個(gè)方面,提供了一種漏洞挖掘檢測(cè)服務(wù)器,該服務(wù)器包括:
獲取單元,適于獲取客戶端上傳的可疑樣本日志;
去重單元,適于對(duì)所獲取到的可疑樣本日志進(jìn)行去重;
掃描單元,適于對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
可選地,每條可疑樣本日志中包括:樣本的簽名信息;
所述去重單元,適于根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
可選地,所述樣本的簽名信息包括:樣本的MD5值,或者,樣本的SHA1值。
可選地,每條可疑樣本日志中還包括:樣本的地址信息;
所述掃描單元,適于將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
可選地,可疑樣本日志對(duì)應(yīng)的樣本為SWF文件;樣本的地址信息為SWF文件的URL地址;
所述掃描單元,適于將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址對(duì)SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。
可選地,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址;該服務(wù)器進(jìn)一步包括:報(bào)警單元;
所述報(bào)警單元,適于當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。
可選地,每條可疑樣本日志中還包括:樣本的源信息;
則所述關(guān)于該樣本的報(bào)警信息中包括:該樣本的源信息,以指示該樣本的最初來源。
可選地,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
可選地,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間;
所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
依據(jù)本發(fā)明的再一個(gè)方面,提供了一種漏洞挖掘檢測(cè)裝置,該裝置包括:
檢測(cè)單元,適于響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè);
上報(bào)單元,適于當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可選地,所述檢測(cè)單元,適于記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè);
所述上報(bào)單元,適于當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可選地,所述關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:
該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
可選地,所述指定應(yīng)用為瀏覽器;所述指定類型文件為SWF文件。
依據(jù)本發(fā)明的再一個(gè)方面,提供了一種漏洞挖掘檢測(cè)系統(tǒng),該系統(tǒng)包括:如上任一項(xiàng)所述的服務(wù)器,以及,如上任一項(xiàng)所述的裝置。
根據(jù)本發(fā)明的技術(shù)方案,服務(wù)器從客戶端獲取可疑樣本日志,將去重后剩下的每一條可疑樣本日志輸入到沙箱中進(jìn)行掃描,根據(jù)掃描日志確定可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。依據(jù)此方案,以各個(gè)客戶端作為遍布在互聯(lián)網(wǎng)中的各探針收集可疑文件對(duì)應(yīng)的可疑樣本日志,探針覆蓋范圍大,能夠較為全面地挖掘出一段時(shí)間內(nèi)互聯(lián)網(wǎng)中存在的可能具有安全風(fēng)險(xiǎn)的樣本的相關(guān)信息;由于客戶端的數(shù)量眾多,收集到的可疑樣本日志的數(shù)據(jù)量十分巨大,本方案又通過去重消除掉冗余的可疑樣本日志,再對(duì)可疑樣本日志進(jìn)行掃描,根據(jù)掃描日志從可能具有安全風(fēng)險(xiǎn)的樣本中確定出確實(shí)存在安全漏洞的樣本,即在客戶端進(jìn)行粗略檢測(cè)后再在服務(wù)器端進(jìn)行精確檢測(cè),明確了各可疑樣本日志對(duì)應(yīng)的樣本的實(shí)際安全情況;其中,對(duì)可疑樣本日志的掃描是在服務(wù)器側(cè)的沙箱中進(jìn)行的,沙箱為可疑樣本日志提供了一個(gè)封閉的運(yùn)行環(huán)境,這樣,即使可疑樣本日志對(duì)應(yīng)的樣本確實(shí)存在漏洞,也不會(huì)對(duì)服務(wù)器側(cè)造成損害。
上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式。
附圖說明
通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:
圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)方法的流程圖;
圖2示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)方法的流程圖;
圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)服務(wù)器的示意圖;
圖4示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)服務(wù)器的示意圖;
圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)裝置的示意圖;
圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)系統(tǒng)的示意圖。
具體實(shí)施方式
下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)方法的流程圖,從服務(wù)器側(cè)說明本方案的實(shí)施過程。如圖1所示,該方法包括:
步驟S110,獲取客戶端上傳的可疑樣本日志。
在本步驟中,當(dāng)客戶端在運(yùn)行過程中發(fā)現(xiàn)一個(gè)文件可能存在漏洞時(shí),以該文件為樣本,將該文件的相關(guān)信息作為可疑樣本日志上傳到服務(wù)器端,則服務(wù)器獲取到該可疑樣本日志。
步驟S120,對(duì)所獲取到的可疑樣本日志進(jìn)行去重。
本步驟中,由于不同客戶端上傳的可疑樣本日志可能是對(duì)應(yīng)于同一樣本,為了避免對(duì)相同樣本的可疑樣本日志的重復(fù)處理,先對(duì)接收到的可疑樣本日志進(jìn)行去重。
步驟S130,對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
可見,圖1所示的方法從客戶端獲取可疑樣本日志,將去重后剩下的每一條可疑樣本日志輸入到沙箱中進(jìn)行掃描,根據(jù)掃描日志確定可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。依據(jù)此方案,以各個(gè)客戶端作為遍布在互聯(lián)網(wǎng)中的各探針收集可疑文件對(duì)應(yīng)的可疑樣本日志,探針覆蓋范圍大,能夠較為全面地挖掘出一段時(shí)間內(nèi)互聯(lián)網(wǎng)中存在的可能具有安全風(fēng)險(xiǎn)的樣本的相關(guān)信息;由于客戶端的數(shù)量眾多,收集到的可疑樣本日志的數(shù)據(jù)量十分巨大,本方案又通過去重消除掉冗余的可疑樣本日志,再對(duì)可疑樣本日志進(jìn)行掃描,根據(jù)掃描日志從可能具有安全風(fēng)險(xiǎn)的樣本中確定出確實(shí)存在安全漏洞的樣本,即在客戶端進(jìn)行粗略檢測(cè)后再在服務(wù)器端進(jìn)行精確檢測(cè),明確了各可疑樣本日志對(duì)應(yīng)的樣本的實(shí)際安全情況;其中,對(duì)可疑樣本日志的掃描是在服務(wù)器側(cè)的沙箱中進(jìn)行的,沙箱為可疑樣本日志提供了一個(gè)封閉的運(yùn)行環(huán)境,這樣,即使可疑樣本日志對(duì)應(yīng)的樣本確實(shí)存在漏洞,也不會(huì)對(duì)服務(wù)器側(cè)造成損害。
上述步驟S120中對(duì)獲取到的可以樣本日志進(jìn)行去重的過程實(shí)質(zhì)上是對(duì)對(duì)應(yīng)于相同樣本的可疑樣本日志進(jìn)行去重的過程,為了辨別可疑樣本日志對(duì)應(yīng)的樣本是否相同,在本發(fā)明的一個(gè)實(shí)施例中,以樣本的簽名信息作為樣本的唯一標(biāo)識(shí),具體地,每條可疑樣本日志中包括:樣本的簽名信息;則步驟S120對(duì)所獲取到的可疑樣本日志進(jìn)行去重包括:根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
其中,所述樣本的簽名信息可以是對(duì)樣本的部分或全部?jī)?nèi)容通過數(shù)字簽名算法加密得到的值,例如:樣本的MD5值,或者,樣本的SHA1值。
在本發(fā)明的一個(gè)實(shí)施例中,每條可疑樣本日志中還可以攜帶樣本的地址信息;通過利用可疑樣本日志中攜帶的樣本的地址信息,執(zhí)行圖1所示方法中的步驟S130,具體地,步驟S130中將該可疑樣本日志輸入沙箱中進(jìn)行掃描,得到掃描日志包括:將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
進(jìn)一步地,在上述步驟S130得到掃描日志并根據(jù)掃描日志確定可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞之后,即獲得該可疑樣本日志日志對(duì)應(yīng)的漏洞檢測(cè)結(jié)果之后,圖1所示的方法進(jìn)一步包括:
步驟S140,將該可疑樣本日志對(duì)應(yīng)的樣本的漏洞檢測(cè)結(jié)果返回至上傳該可疑樣本日志的客戶端,使上傳該可疑樣本日志的客戶端獲知該可疑樣本日志對(duì)應(yīng)的樣本的實(shí)際安全情況,以做出相應(yīng)的應(yīng)對(duì)策略。
例如,客戶端a、客戶端b和客戶端c均向服務(wù)器端上傳了樣本x的可疑樣本日志和樣本y的可疑樣本日志,服務(wù)器端在獲取到樣本x的可疑樣本日志后,通過掃描根據(jù)掃描日志確定樣本x存在漏洞,則向客戶端a、客戶端b和客戶端c返回指示樣本x存在漏洞的報(bào)警信息,提醒客戶端a、客戶端b和客戶端c的用戶對(duì)樣本x進(jìn)行防范;服務(wù)器端在獲取到樣本y的可疑樣本日志后,通過掃描根據(jù)掃描日志確定樣本y不存在漏洞,則向客戶端a、客戶端b和客戶端c返回指示樣本x不存在漏洞的漏洞檢測(cè)結(jié)果,使得客戶端a、客戶端b和客戶端c的用戶可以放心地使用樣本y。
進(jìn)一步地,對(duì)于漏洞檢測(cè)結(jié)果是存在漏洞的樣本來說,在向相應(yīng)的客戶端返回指示該樣本存在漏洞的報(bào)警信息的同時(shí),還可以將應(yīng)對(duì)該樣本的漏洞的修復(fù)補(bǔ)丁包一同下發(fā)給相應(yīng)的客戶端,使得客戶端在接收到報(bào)警信息后,利用其中的修復(fù)補(bǔ)丁包對(duì)該樣本的漏洞進(jìn)行修復(fù)。
在本發(fā)明的一個(gè)實(shí)施例中,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址;本實(shí)施例通過可疑樣本日志中的客戶端的IP地址信息來記錄每一條可疑樣本日志與上傳該可疑樣本日志的客戶端之間的對(duì)應(yīng)關(guān)系,則上述步驟S140的具體實(shí)施過程可以是:當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。
在本發(fā)明的一個(gè)實(shí)施例中,每條可疑樣本日志中還包括:樣本的源信息;每條可疑樣本日志中的樣本的源信息用于指示該可疑樣本日志對(duì)應(yīng)的樣本的最初來源,則上述步驟S140在將指示一個(gè)可疑樣本日志對(duì)應(yīng)的樣本存在漏洞的報(bào)警信息返回給相應(yīng)的客戶端時(shí),在該報(bào)警信息中攜帶所述樣本的源信息,使得相應(yīng)的客戶端的用戶在接收到報(bào)警信息后,不僅能夠獲知一個(gè)樣本存在漏洞的信息,也能夠獲知該樣本的來源信息,以對(duì)該樣本的漏洞有更深入的了解。
在本發(fā)明的一個(gè)實(shí)施例中,上述步驟S140在將指示一個(gè)可疑樣本日志對(duì)應(yīng)的樣本存在漏洞的報(bào)警信息返回給相應(yīng)的客戶端時(shí),還將曾經(jīng)上傳過該可疑樣本日志的數(shù)量添加到所述報(bào)警信息中,使得每一個(gè)客戶端的用戶在接收到報(bào)警信息后,不僅能夠獲取一個(gè)樣本存在漏洞的信息,也能夠獲知有多少個(gè)客戶端曾經(jīng)運(yùn)行過該客戶端的信息,即獲知該樣本的影響范圍,以加強(qiáng)對(duì)該樣本的關(guān)注程度。在具體的實(shí)施過程中,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
在本發(fā)明的一個(gè)實(shí)施例中,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間;指示了客戶端上傳可疑樣本日志的時(shí)間,實(shí)質(zhì)上是客戶端對(duì)該可疑樣本日志對(duì)應(yīng)的樣本進(jìn)行粗略檢測(cè)的時(shí)間,則對(duì)于一個(gè)樣本的可疑樣本日志,在所有上傳該可疑樣本日志的客戶端中,最早上傳的客戶端應(yīng)當(dāng)是最早檢測(cè)到該樣本可能存在安全風(fēng)險(xiǎn)的客戶端。因此,上述步驟S140在將指示一個(gè)可疑樣本日志對(duì)應(yīng)的樣本存在漏洞的報(bào)警信息返回給相應(yīng)的客戶端時(shí),還將曾經(jīng)獲取到的該可疑樣本日志中記錄的最早的上傳時(shí)間添加到所述報(bào)警信息中,使得相應(yīng)的客戶端的用戶在收到報(bào)警信息后,不僅能夠獲取一個(gè)樣本存在漏洞的信息,還能夠獲取該存在漏洞的樣本的最早被客戶端檢測(cè)發(fā)現(xiàn)的時(shí)間。在具體的實(shí)施過程中,所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
以一個(gè)具體的例子說明本方案的實(shí)施過程,在本例中,可疑樣本日志對(duì)應(yīng)的樣本為SWF(Shock Wave Flash)文件是Adobe公司的動(dòng)畫設(shè)計(jì)軟件Flash的專用格式,被廣泛用于動(dòng)畫制作、網(wǎng)頁(yè)設(shè)計(jì)等領(lǐng)域;每個(gè)客戶端中的瀏覽器應(yīng)用開啟網(wǎng)頁(yè)的過程中在運(yùn)行SWF文件時(shí)會(huì)對(duì)該SWF文件進(jìn)行初步檢測(cè),當(dāng)檢測(cè)出SWF文件可能存在安全風(fēng)險(xiǎn)時(shí),將該SWF文件的相關(guān)信息作為可疑樣本日志上傳至服務(wù)器端,本例中每個(gè)SWF文件的可疑樣本日志中包括:該SWF文件的簽名信息、該SWF文件的URL地址、上傳該可疑樣本日志的客戶端的IP地址、上傳時(shí)間、該SWF文件的源信息等。服務(wù)器在獲取到各客戶端上傳的SWF文件的可疑樣本日志后,先通過比對(duì)各可疑樣本日志中的SWF文件的簽名信息來對(duì)對(duì)應(yīng)于相同的SWF文件的可疑樣本日志進(jìn)行去重;對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址發(fā)送關(guān)于該可疑樣本日志對(duì)應(yīng)的SWF文件的網(wǎng)絡(luò)請(qǐng)求,對(duì)該SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;根據(jù)該掃描日志判斷該SWF文件是否存在漏洞;是則,將指示該SWF文件存在漏洞的報(bào)警信息發(fā)送至所有上傳該SWF文件的可疑樣本日志的客戶端中,該報(bào)警信息中還可以包含上傳該SWF文件的可疑樣本日志日志的客戶端的數(shù)量、上傳該SWF文件的可疑樣本日志的最早上傳時(shí)間、該SWF文件的源信息、該SWF文件的漏洞的修復(fù)補(bǔ)丁包等供相應(yīng)的客戶端了解該SWF文件的漏洞的信息;否則,將指示該SWF不存在漏洞的漏洞檢測(cè)結(jié)果發(fā)送至所有上傳該SWF文件的可疑樣本日志的客戶端中,并對(duì)該SWF文件的唯一標(biāo)識(shí)(如簽名信息)進(jìn)行記錄,下次再?gòu)目蛻舳双@取到該SWF文件的可疑樣本日志時(shí),直接將該SWF文件的漏洞檢測(cè)結(jié)果返回至相應(yīng)的客戶端。
可見,分布在互聯(lián)網(wǎng)中的客戶端作為探針先對(duì)所有的SWF文件進(jìn)行預(yù)過濾,將可能存在安全風(fēng)險(xiǎn)的SWF文件的可疑樣本日志上傳到服務(wù)器端,服務(wù)器再來進(jìn)行準(zhǔn)確度較高地篩選過程,由于客戶端預(yù)過濾后的可疑樣本日志的數(shù)據(jù)量依然很大,服務(wù)器在實(shí)時(shí)處理的過程中以SWF文件的簽名信息(如MD5值等)作為鍵值對(duì)可疑樣本日志進(jìn)行去重,去重后將每個(gè)可疑樣本日志對(duì)應(yīng)的SWF文件投到掃描平臺(tái)來掃,掃描平臺(tái)就是上文所述的服務(wù)器側(cè)的沙箱,在沙箱中實(shí)際上對(duì)該可疑樣本日志對(duì)應(yīng)的SWF文件依據(jù)相應(yīng)的URL地址重新請(qǐng)求、重新播放一遍,重放的過程相當(dāng)于是該SWF在沙箱中運(yùn)行的過程,沙箱能夠?qū)υ揝WF文件在運(yùn)行過程中發(fā)生的行為進(jìn)行監(jiān)控,則在該SWF文件運(yùn)行結(jié)束之后會(huì)產(chǎn)生相應(yīng)的日志即本例中的掃描日志,對(duì)這個(gè)掃描日志進(jìn)行分析,通過這個(gè)掃描日志就能得到關(guān)于該SWF文件的真正的情況。
其中,由于SWF文件常見的漏洞包括0Day漏洞,因此本例中根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞可以是:根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。具體地,服務(wù)器側(cè)的沙箱是一個(gè)SWF沙箱鑒定器,考慮到無論何時(shí)加載可疑樣本的日志信息并在本地服務(wù)器執(zhí)行,安全都是至關(guān)重要的問題;沙箱作為一個(gè)虛擬系統(tǒng)程序提供了一個(gè)類似沙盤的獨(dú)立作業(yè)環(huán)境,允許在沙盤環(huán)境中根據(jù)可疑樣本的地址信息加載該可疑樣本,并記錄加載過程中的中間行為;其運(yùn)行所產(chǎn)生的變化可以隨后刪除,并且在其內(nèi)部運(yùn)行的程序并不能對(duì)服務(wù)器產(chǎn)生永久性的影響。
圖2示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)方法的流程圖,從客戶端側(cè)說明本方案的實(shí)施過程。如圖2所示,該方法包括:
步驟S210,響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè)。
步驟S220,當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可見,圖2所示的方法在客戶端測(cè)對(duì)指定類型文件進(jìn)行初步檢測(cè),將可能存在安全風(fēng)險(xiǎn)的指定類型文件的可疑樣本日志上傳至服務(wù)器側(cè)進(jìn)行進(jìn)一步地精確檢測(cè),其中,判斷指定類型文件可能存在安全風(fēng)險(xiǎn)的策略是:判斷指定類型文件是否符合預(yù)設(shè)條件?;诖朔桨?,每個(gè)客戶端都成為分布在互聯(lián)網(wǎng)中的一個(gè)收集可能存在漏洞的指定類型文件的探針,使得漏洞挖掘范圍較為廣泛、全面,客戶端與服務(wù)器端進(jìn)行配合,能夠及時(shí)發(fā)現(xiàn)各指定類型文件中存在的漏洞,接觸安全威脅,符合用戶需求。
在本發(fā)明的一個(gè)實(shí)施例中,步驟S210中對(duì)該指定類型文件進(jìn)行檢測(cè)包括:記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè);則步驟S220中當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器包括:當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,判斷出該指定類型文件可能存在安全隱患,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
在本發(fā)明的一個(gè)實(shí)施例中,步驟S220中關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
以一個(gè)具體的例子來說明本方案的實(shí)施過程,在本例中,所述指定應(yīng)用為瀏覽器;所述指定類型文件為SWF文件;當(dāng)用戶在瀏覽器中打開網(wǎng)頁(yè),網(wǎng)頁(yè)上包含SWF文件時(shí),客戶端自動(dòng)喚醒對(duì)該SWF文件進(jìn)行檢測(cè),如果檢測(cè)到該SWF文件可能存在漏洞,就打一條關(guān)于該SWF文件的可疑樣本日志,該可疑樣本日志中包含該SWF文件的簽名信息、該SWF文件的源信息、該SWF文件的URL地址、客戶端的IP地址等,并將該可疑樣本日志上傳到服務(wù)器端進(jìn)行進(jìn)一步地檢測(cè)。
圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)服務(wù)器的示意圖。如圖3所示,該漏洞挖掘檢測(cè)服務(wù)器300包括:
獲取單元310,適于獲取客戶端上傳的可疑樣本日志。
去重單元320,適于對(duì)所獲取到的可疑樣本日志進(jìn)行去重。
掃描單元330,適于對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
可見,圖3所示的服務(wù)器從客戶端獲取可疑樣本日志,將去重后剩下的每一條可疑樣本日志輸入到沙箱中進(jìn)行掃描,根據(jù)掃描日志確定可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。依據(jù)此方案,以各個(gè)客戶端作為遍布在互聯(lián)網(wǎng)中的各探針收集可疑文件對(duì)應(yīng)的可疑樣本日志,探針覆蓋范圍大,能夠較為全面地挖掘出一段時(shí)間內(nèi)互聯(lián)網(wǎng)中存在的可能具有安全風(fēng)險(xiǎn)的樣本的相關(guān)信息;由于客戶端的數(shù)量眾多,收集到的可疑樣本日志的數(shù)據(jù)量十分巨大,本方案又通過去重消除掉冗余的可疑樣本日志,再對(duì)可疑樣本日志進(jìn)行掃描,根據(jù)掃描日志從可能具有安全風(fēng)險(xiǎn)的樣本中確定出確實(shí)存在安全漏洞的樣本,即在客戶端進(jìn)行粗略檢測(cè)后再在服務(wù)器端進(jìn)行精確檢測(cè),明確了各可疑樣本日志對(duì)應(yīng)的樣本的實(shí)際安全情況;其中,對(duì)可疑樣本日志的掃描是在服務(wù)器側(cè)的沙箱中進(jìn)行的,沙箱為可疑樣本日志提供了一個(gè)封閉的運(yùn)行環(huán)境,這樣,即使可疑樣本日志對(duì)應(yīng)的樣本確實(shí)存在漏洞,也不會(huì)對(duì)服務(wù)器側(cè)造成損害。
在本發(fā)明的一個(gè)實(shí)施例中,每條可疑樣本日志中包括:樣本的簽名信息。所述去重單元320,適于根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
其中,所述樣本的簽名信息包括:樣本的MD5值,或者,樣本的SHA1值。
進(jìn)一步地,每條可疑樣本日志中還包括:樣本的地址信息。所述掃描單元330,適于將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
其中,可疑樣本日志對(duì)應(yīng)的樣本為SWF文件;樣本的地址信息為SWF文件的URL地址;所述掃描單元330,適于將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址對(duì)SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。
圖4示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)服務(wù)器的示意圖。如圖4所示,該漏洞挖掘檢測(cè)服務(wù)器包括:獲取單元410、去重單元420、掃描單元430和報(bào)警單元440。
其中,獲取單元410、去重單元420、掃描單元430和圖3所示的獲取單元310、去重單元320、掃描單元330對(duì)應(yīng)相同的功能,相同的部分在此不再贅述。
所述報(bào)警單元440,適于當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。其中,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址。
在一個(gè)具體的例子中,每條可疑樣本日志中還包括:樣本的源信息。則所述關(guān)于該樣本的報(bào)警信息中包括:該樣本的源信息,以指示該樣本的最初來源。
具體地,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
進(jìn)一步地,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間。則所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
需要說明的是,圖3-圖4所示服務(wù)器的各實(shí)施例與圖1所示方法的各實(shí)施例對(duì)應(yīng)相同,上文中已有詳細(xì)說明,在此不再贅述。
圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)裝置的示意圖。如圖5所示,該漏洞挖掘檢測(cè)裝置500包括:
檢測(cè)單元510,適于響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè)。
上報(bào)單元520,適于當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
可見,圖5所示的客戶端測(cè)對(duì)指定類型文件進(jìn)行初步檢測(cè),將可能存在安全風(fēng)險(xiǎn)的指定類型文件的可疑樣本日志上傳至服務(wù)器側(cè)進(jìn)行進(jìn)一步地精確檢測(cè),其中,判斷指定類型文件可能存在安全風(fēng)險(xiǎn)的策略是:判斷指定類型文件是否符合預(yù)設(shè)條件?;诖朔桨?,每個(gè)客戶端都成為分布在互聯(lián)網(wǎng)中的一個(gè)收集可能存在漏洞的指定類型文件的探針,使得漏洞挖掘范圍較為廣泛、全面,客戶端與服務(wù)器端進(jìn)行配合,能夠及時(shí)發(fā)現(xiàn)各指定類型文件中存在的漏洞,接觸安全威脅,符合用戶需求。
在本發(fā)明的一個(gè)實(shí)施例中,所述檢測(cè)單元510,適于記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè)。
所述上報(bào)單元520,適于當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
在本發(fā)明的一個(gè)實(shí)施例中,所述關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
在本發(fā)明的一個(gè)實(shí)施例中,所述指定應(yīng)用為瀏覽器;所述指定類型文件為SWF文件。
需要說明的是,圖5所示裝置的具體實(shí)施例與圖2所示方法的各實(shí)施例對(duì)應(yīng)相同,上文中已進(jìn)行了詳細(xì)說明,在此不再贅述。
圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種漏洞挖掘檢測(cè)系統(tǒng)的示意圖。如圖6所示,該漏洞挖掘檢測(cè)系統(tǒng)600包括:漏洞挖掘檢測(cè)服務(wù)器610,以及,漏洞挖掘檢測(cè)裝置620。
其中,漏洞挖掘檢測(cè)服務(wù)器610與上文中的漏洞挖掘檢測(cè)服務(wù)器300/400具有相同的功能,漏洞挖掘檢測(cè)裝置620與上文中的漏洞挖掘檢測(cè)裝置500具有相同的功能,在此不再贅述。
綜上所述,在本發(fā)明的技術(shù)方案中,以各個(gè)客戶端作為遍布在互聯(lián)網(wǎng)中的各探針收集可疑文件對(duì)應(yīng)的可疑樣本日志,探針覆蓋范圍大,能夠較為全面地挖掘出一段時(shí)間內(nèi)互聯(lián)網(wǎng)中存在的可能具有安全風(fēng)險(xiǎn)的樣本的相關(guān)信息;由于客戶端的數(shù)量眾多,收集到的可疑樣本日志的數(shù)據(jù)量十分巨大,本方案又通過去重消除掉冗余的可疑樣本日志,再對(duì)可疑樣本日志進(jìn)行掃描,根據(jù)掃描日志從可能具有安全風(fēng)險(xiǎn)的樣本中確定出確實(shí)存在安全漏洞的樣本,即在客戶端進(jìn)行粗略檢測(cè)后再在服務(wù)器端進(jìn)行精確檢測(cè),明確了各可疑樣本日志對(duì)應(yīng)的樣本的實(shí)際安全情況;其中,對(duì)可疑樣本日志的掃描是在服務(wù)器側(cè)的沙箱中進(jìn)行的,沙箱為可疑樣本日志提供了一個(gè)封閉的運(yùn)行環(huán)境,這樣,即使可疑樣本日志對(duì)應(yīng)的樣本確實(shí)存在漏洞,也不會(huì)對(duì)服務(wù)器側(cè)造成損害;將漏洞檢測(cè)結(jié)果返回至上傳相應(yīng)可疑樣本日志的客戶端,使得客戶端的用戶對(duì)相應(yīng)的樣本是否存在漏洞、以及如果存在漏洞該漏洞的相關(guān)信息加以了解,解除樣本的漏洞給客戶端帶來的安全威脅,符合用戶需求。
需要說明的是:
在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬裝置或者其它設(shè)備固有相關(guān)。各種通用裝置也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類裝置所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。
在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說明書的理解。
類似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此,遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。
本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。
此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。
本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的漏洞挖掘檢測(cè)服務(wù)器、裝置和系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。
應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。
本發(fā)明公開了A1、一種漏洞挖掘檢測(cè)方法,其中,該方法包括:
獲取客戶端上傳的可疑樣本日志;
對(duì)所獲取到的可疑樣本日志進(jìn)行去重;
對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
A2、如A1所述的方法,其中,每條可疑樣本日志中包括:樣本的簽名信息;
則所述對(duì)所獲取到的可疑樣本日志進(jìn)行去重包括:根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
A3、如A2所述的方法,其中,所述樣本的簽名信息包括:
樣本的MD5值,或者,樣本的SHA1值。
A4、如A2所述的方法,其中,每條可疑樣本日志中還包括:樣本的地址信息;
所述將該可疑樣本日志輸入沙箱中進(jìn)行掃描,得到掃描日志包括:
將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
A5、如A4所述的方法,其中,可疑樣本日志對(duì)應(yīng)的樣本為SWF文件;樣本的地址信息為SWF文件的URL地址;
則所述將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可以樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志包括:將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址對(duì)SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;
所述根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞包括:根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。
A6、如A1所述的方法,其中,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址;
該方法進(jìn)一步包括:當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。
A7、如A6所述的方法,其中,每條可疑樣本日志中還包括:樣本的源信息;
則所述關(guān)于該樣本的報(bào)警信息中包括:該樣本的源信息,以指示該樣本的最初來源。
A8、如A6所述的方法,其中,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
A9、如A6所述的方法,其中,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間;
所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
本發(fā)明還公開了B10、一種漏洞挖掘檢測(cè)方法,其中,該方法包括:
響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè);
當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
B11、如B10所述的方法,其中,
所述對(duì)該指定類型文件進(jìn)行檢測(cè)包括:記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè);
所述當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器包括:當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
B12、如B10所述的方法,其中,所述關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:
該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
B13、如B10所述的方法,其中,
所述指定應(yīng)用為瀏覽器;
所述指定類型文件為SWF文件。
本發(fā)明還公開了C14、一種漏洞挖掘檢測(cè)服務(wù)器,其中,該服務(wù)器包括:
獲取單元,適于獲取客戶端上傳的可疑樣本日志;
去重單元,適于對(duì)所獲取到的可疑樣本日志進(jìn)行去重;
掃描單元,適于對(duì)于去重后剩下的每條可疑樣本日志,將該可疑樣本日志輸入到沙箱中進(jìn)行掃描,得到掃描日志,根據(jù)該掃描日志確定該可疑樣本日志對(duì)應(yīng)的樣本是否存在漏洞。
C15、如C14所述的服務(wù)器,其中,每條可疑樣本日志中包括:樣本的簽名信息;
所述去重單元,適于根據(jù)可疑樣本日志中包含的樣本的簽名信息,對(duì)包含有相同的簽名信息的可疑樣本日志進(jìn)行去重。
C16、如C15所述的服務(wù)器,其中,所述樣本的簽名信息包括:
樣本的MD5值,或者,樣本的SHA1值。
C17、如C15所述的服務(wù)器,其中,每條可疑樣本日志中還包括:樣本的地址信息;
所述掃描單元,適于將該可疑樣本日志中的樣本的地址信息輸入到沙箱中,在沙箱中根據(jù)該地址信息加載該可疑樣本日志對(duì)應(yīng)的樣本,對(duì)樣本在加載過程中的中間行為進(jìn)行記錄,得到掃描日志。
C18、如C17所述的服務(wù)器,其中,可疑樣本日志對(duì)應(yīng)的樣本為SWF文件;樣本的地址信息為SWF文件的URL地址;
所述掃描單元,適于將該可疑樣本日志中的SWF文件的URL地址輸入到沙箱中,在沙箱中啟動(dòng)瀏覽器應(yīng)用,根據(jù)該URL地址對(duì)SWF文件進(jìn)行渲染,直至渲染完成,對(duì)SWF文件在渲染過程中的中間行為進(jìn)行記錄,得到掃描日志;根據(jù)該掃描日志確定該SWF文件是否存在0Day漏洞。
C19、如C14所述的服務(wù)器,其中,每條可疑樣本日志中包括:上傳該條可疑樣本日志的客戶端的IP地址;該服務(wù)器進(jìn)一步包括:報(bào)警單元;
所述報(bào)警單元,適于當(dāng)確定出一個(gè)樣本存在漏洞時(shí),對(duì)于該樣本對(duì)應(yīng)的每條可疑樣本日志,根據(jù)該條可疑樣本日志中的客戶端的IP地址向相應(yīng)的客戶端返回關(guān)于該樣本的報(bào)警信息。
C20、如C19所述的服務(wù)器,其中,每條可疑樣本日志中還包括:樣本的源信息;
則所述關(guān)于該樣本的報(bào)警信息中包括:該樣本的源信息,以指示該樣本的最初來源。
C21、如C19所述的服務(wù)器,其中,所述關(guān)于該樣本的報(bào)警信息中包括:上傳包含該樣本的簽名信息的可疑樣本日志的客戶端的數(shù)量,以指示該樣本的影響范圍。
C22、如C19所述的服務(wù)器,其中,每條可疑樣本日志中還包括:該條可疑樣本日志的上傳時(shí)間;
所述關(guān)于該樣本的報(bào)警信息中包括:包含該樣本的簽名信息的可疑樣本日志中最早的上傳時(shí)間,以指示該樣本的漏洞起始時(shí)間。
本發(fā)明還公開了D23、一種漏洞挖掘檢測(cè)裝置,其中,該裝置包括:
檢測(cè)單元,適于響應(yīng)于在指定應(yīng)用中打開指定類型文件的操作,對(duì)該指定類型文件進(jìn)行檢測(cè);
上報(bào)單元,適于當(dāng)檢測(cè)到該指定類型文件符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
D24、如D23所述的裝置,其中,
所述檢測(cè)單元,適于記錄該指定類型文件的行為日志,根據(jù)該行為日志對(duì)該指定類型文件進(jìn)行檢測(cè);
所述上報(bào)單元,適于當(dāng)檢測(cè)到該指定類型文件的行為日志符合預(yù)設(shè)條件,將關(guān)于該指定類型文件的可疑樣本日志上傳至服務(wù)器。
D25、如D23所述的裝置,其中,所述關(guān)于該指定類型文件的可疑樣本日志中包括如下一種或多種:
該指定類型文件的簽名信息,該指定類型文件的地址信息,該指定類型文件的源信息,客戶端的IP地址,該指定類型文件的源信息,該指定類型文件的上傳時(shí)間。
D26、如D23所述的裝置,其中,
所述指定應(yīng)用為瀏覽器;
所述指定類型文件為SWF文件。
本發(fā)明還公開了E27、一種漏洞挖掘檢測(cè)系統(tǒng),其中,該系統(tǒng)包括:如C14-C22中任一項(xiàng)所述的服務(wù)器,以及,如D23-D26中任一項(xiàng)所述的裝置。