技術領域

本發明涉及基于漏洞特征的動態執行補丁方法，屬于系統安全和網絡安全相關領域。本發明用于對運行時程序的安全漏洞的動態修復與防護。

背景技術

目前的安全漏洞修復方法可主要分為兩類，程序補丁和二進制程序運行時完全監控。程序補丁方法針對已經出現的漏洞，進行人工的安全漏洞分析，發現導致漏洞發生的源代碼，重新改寫該部分的代碼，編譯生成新的可執行程序后發布進行測試。程序補丁方法需要依賴于漏洞程序的源代碼，這在安全領域幾乎是不可能的，除非軟件生產廠商自身的安全修補，這制約著通用安全公司對該軟件的有效保護。同時，人工的安全漏洞分析方法，其響應速度慢，還有可能會導致新的安全漏洞，并且需要反復大量的測試才能公布。整個發布周期長，耗費的資源龐大，不利于對蠕蟲等快速攻擊的防護。二進制程序運行時完全監控方法能夠有效地發現大量的安全漏洞，但鑒于其完全的執行監控帶來了大量的運行負載，使得不利于在正常的工作環境中使用，特別是那些對性能要求非常高的環境更是如此，因為完全的二進制程序運行監控往往回帶來成倍的性能負載。

因此，當前迫切需要一種新的安全漏洞修復與防護方法。該方法不需要被監控軟件的源代碼，能夠對各種相關攻擊的防護具有較低的誤報率和漏報率，并且具有快速反應的自動化處理能力，很低的運行負載，不會影響到程序的正常執行。

發明內容

有鑒于此，本發明的目的是提供基于高效、快速的安全漏洞補丁方法。陔方法建立在二進制程序的選擇性執行監控之上，對安全漏洞相關的惡意攻擊指令進行監視，滿足安全漏洞執行補丁的要求，使得漏洞程序的執行不會違反安全行為規則，限制惡意攻擊的執行，并能保證漏洞程序在惡意攻擊下的正常執行。

為了達到上述目的，本發明提供了一種基于漏洞特征的動態執行補丁方法，其特征在于：該方法包括了下述組成部件：

惡意攻擊檢測部件：采用基于數掘流分析的惡意攻擊檢測方法，包括數據標記模塊，數據追蹤模塊和誤用檢測模塊。數據標記模塊記錄所有外來的輸入為感染數據，數據追蹤模塊標記對感染數據進行操作的數據移動指令和數據算術指令，誤用檢測模塊判斷被感染數據的使用是否違反安全規則與配置，最后收集并分析與安全漏洞相關的信息。

執行補丁塵成部件：基于數據流分析得到的信息，提取出針對安全漏洞的感染數據傳播指令和感染數據誤用指令。感染數據傳播指令記錄從攻擊源開始對惡意攻擊數據的所有操作行為，而感染數據誤用指令則記錄了針對使用感染數據所觸發的違反安全規則的指令。

虛擬執行監控部件：采用基于代碼切片的虛擬執行方法，包括反匯編模塊，基本塊生成模塊，基木塊緩存模塊，基本塊預處理模塊，虛擬執行模塊和執行監控模塊。反匯編模塊獲取二進制代碼流的匯編指令，虛擬執行模塊執行生成的基本塊代碼，執行監控模塊監視與安全漏洞執行補丁相關的運行指令和內存訪問情況，并采取相應的防護措施。

為了達到上述目的，本發明還提供了一種基于漏洞特征的動態執行補丁方法，其特征在于：該方法包括了下述操作步驟：

步驟(1)，虛擬執行監控部件啟動具有安全漏洞的程序；

步驟(2)，外部輸入針對安全漏洞的樣本攻擊代碼；

步驟(3)，惡意攻擊檢測部件發現并記錄攻擊代碼在本地的執行路徑；

步驟(4)，執行補丁生成部件根據執行路徑信息產生安全漏洞的執行補丁；

步驟(5)，將執行補丁發送到虛擬執行監控部件；

步驟(6)，虛擬執行監控部件修復該安全漏洞。

總之，本發明方法的優點簡述如下：一種新的安全漏洞修復與防護方法。該方法不需要被監控軟件的源代碼，能夠對各種相關攻擊的防護具有較低的誤報率和漏報率，并且具有快速反應的自動化處理能力，很低的運行負載，不會影響到程序的正常執行。

附圖說明

圖1是本發明用于基于漏洞特征的動態執行補丁方法的流程圖。

圖2是本發明用于基于漏洞特征的動態執行補丁方法的總體結構框圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明作進一步的詳細描述。

參見圖1，虛擬執行監控部件啟動被監視的二進制程序，利用反匯編模塊得到目標二進制代碼流的匯編指令。根據指令的類型將其劃分成不包含有控制轉移類指令的基本塊。然后，虛擬執行部件在可控制的范圍內執行基本塊的指令，最終使得目標二進制程序所有指令的執行都是在虛擬執行監控部件的控制下完成的。外部輸入針對安全漏洞的樣本攻擊代碼，攻擊代碼將攻擊數據發送到該二進制程序。