本發(fā)明涉及一種檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法，其包括以下步驟：(S100)基礎(chǔ)搭建，其包括(S101)設(shè)置動(dòng)態(tài)沙箱還原點(diǎn)；(S102)將代碼載入動(dòng)態(tài)沙箱。(S200)檢測(cè)，其包括(S201)利用路徑執(zhí)行技術(shù)在可疑代碼中尋找所有的可執(zhí)行路徑；(S202)動(dòng)態(tài)強(qiáng)制執(zhí)行所有代碼路徑；(S203)內(nèi)存監(jiān)控單元介入，監(jiān)控代碼執(zhí)行動(dòng)作；(S204)分析系統(tǒng)狀態(tài)，記錄未知惡意代碼和漏洞路徑；(S205)輸出報(bào)警。(S300)系統(tǒng)還原，其包括重置沙箱，還原虛擬機(jī)。本發(fā)明步驟簡(jiǎn)單、合理，不僅能準(zhǔn)確檢測(cè)并判斷未知病毒木馬及未知惡意代碼，而且檢出率高、延遲低且防攻擊能力強(qiáng)，適于推廣與應(yīng)用。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域中網(wǎng)絡(luò)安全的檢測(cè)判斷技術(shù)領(lǐng)域，尤其涉及一種檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法。

背景技術(shù)

傳統(tǒng)方法檢測(cè)未知惡意代碼或者二進(jìn)制漏洞，主要采用基于代碼序列特征碼(即特征匹配)檢測(cè)、啟發(fā)式檢測(cè)、基于異常行為檢測(cè)、基于行為結(jié)果檢測(cè)四種檢測(cè)技術(shù)，這四種方式主要工作原理是對(duì)程序進(jìn)行特征匹配、通過(guò)大量樣本分析程序調(diào)用的系統(tǒng)函數(shù)、監(jiān)視程序運(yùn)行的異常行為、分析代碼執(zhí)行后的運(yùn)行結(jié)果和系統(tǒng)狀態(tài)等。

這四種方式有誤報(bào)率高、漏報(bào)率高、占用資源多、效率低、有效期短、防攻擊能力弱等缺點(diǎn)。傳統(tǒng)方法通常要對(duì)數(shù)據(jù)包進(jìn)行解壓、重組、分析等步驟的處理。在大流量、大規(guī)模的檢測(cè)情況下，會(huì)極大的占用網(wǎng)絡(luò)和設(shè)備資源，甚至影響正常業(yè)務(wù)的運(yùn)行。而且采用特征匹配的方式無(wú)法檢測(cè)最新式的未知惡意代碼，只有惡意程序爆發(fā)并被采集分析，提取出特征碼之后才能夠進(jìn)行有效檢測(cè)，這樣無(wú)疑會(huì)落后于未知惡意代碼的攻擊行動(dòng)，造成了很大的安全隱患。隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，這些傳統(tǒng)方式已經(jīng)不適應(yīng)現(xiàn)在的web環(huán)境。

上述可知，有必要對(duì)現(xiàn)有技術(shù)進(jìn)一步完善。

發(fā)明內(nèi)容

本發(fā)明是為了解決現(xiàn)有檢測(cè)未知惡意代碼或者二進(jìn)制漏洞的方法誤報(bào)率高、漏報(bào)率高、占用資源多、效率低、有效期短、防攻擊能力弱等問(wèn)題而提出一種不僅能準(zhǔn)確檢測(cè)并判斷未知病毒木馬及未知惡意代碼，而且檢出率高、延遲低且防攻擊能力強(qiáng)的檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法。

本發(fā)明是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的：

上述的檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法，其包括以下步驟：

(S100)基礎(chǔ)搭建

依次包括(S101)設(shè)置動(dòng)態(tài)沙箱還原點(diǎn)；(S102)將代碼載入動(dòng)態(tài)沙箱；

(S200)檢測(cè)

依次包括(S201)利用路徑執(zhí)行技術(shù)在可疑代碼中尋找所有的可執(zhí)行路徑；(S202)動(dòng)態(tài)強(qiáng)制執(zhí)行所有代碼路徑；(S203)內(nèi)存監(jiān)控單元介入，監(jiān)控代碼執(zhí)行動(dòng)作；(S204)分析系統(tǒng)狀態(tài)，記錄未知惡意代碼和漏洞路徑；(S205)輸出報(bào)警；

(S300)系統(tǒng)還原，即重置沙箱，還原虛擬機(jī)。

所述檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法，其中：所述步驟(S201)即指將惡意程序全部拆分為樹(shù)形結(jié)構(gòu)，檢測(cè)時(shí)不受程序邏輯關(guān)系限制，獨(dú)立檢測(cè)每一個(gè)拆分的分支程序，在遇到call指令生成子進(jìn)程時(shí)，將子進(jìn)程標(biāo)記檢測(cè)；如果判斷為混淆程序則舍棄子進(jìn)程，同時(shí)加強(qiáng)程序?yàn)閻阂獯a程序的可能性；將檢測(cè)結(jié)果與路徑樹(shù)和拆分索引比對(duì)，快速、準(zhǔn)確定位惡意代碼在程序中的位置，以便人工核實(shí)。

所述檢測(cè)未知惡意代碼和二進(jìn)制漏洞的方法，其中：所述步驟(S203)即指將計(jì)算機(jī)操作系統(tǒng)在運(yùn)行的過(guò)程中內(nèi)容是完全一樣的一部分空間，作為虛擬機(jī)使用。