技術領域

本發(fā)明涉及信息安全和網(wǎng)絡安全領域，尤其是涉及了一種漏洞利用的檢測方法和系統(tǒng)。

背景技術

隨著計算機與網(wǎng)絡的普及，數(shù)字技術正在改變著、影響著人類的生活方式。高速發(fā)展中的互聯(lián)網(wǎng)日夜不停地傳輸大量的文字、數(shù)字圖形、聲音、影像等數(shù)據(jù)流。檢測、識別這些數(shù)據(jù)流中是否存在威脅的需求越來越廣泛。

現(xiàn)有技術中，安全研究員獲得漏洞利用樣本，并根據(jù)該漏洞利用樣本從數(shù)據(jù)流中提取相應的特征碼，并通過比對特征庫中的特征碼以及數(shù)據(jù)流中提取的特征碼，以檢測數(shù)據(jù)流中是否存在具有安全威脅的漏洞利用。

但是，上述方式過于依賴于漏洞利用樣本的特征，其無法檢測到與已知漏洞利用樣本不同的漏洞利用，而且由于漏洞利用樣本眾多，因此，根據(jù)漏洞利用樣本從數(shù)據(jù)流中提取相應的特征碼時還存在現(xiàn)實困難。

發(fā)明內容

本發(fā)明實施例提供一種漏洞利用的檢測方法和系統(tǒng)，不僅可以避免依靠檢測漏洞利用樣本特征碼的局限性，而且能夠檢測到與已知漏洞利用樣本不同的漏洞利用和針對未知漏洞的利用，甚至是所有基于緩沖區(qū)溢出的攻擊。

為了達到上述目的，本發(fā)明實施例提供一種漏洞利用的檢測方法，所述方法包括以下步驟：

Loader管理模塊獲得數(shù)據(jù)流中待分析的數(shù)據(jù)塊；

所述Loader管理模塊從所述待分析的數(shù)據(jù)塊的起始位置或者指定位置，嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行，并在嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行的過程中，監(jiān)控漏洞利用程序中的指定類型函數(shù)調用；其中，所述指定類型函數(shù)在調用時，表示存在漏洞利用；

所述Loader管理模塊在監(jiān)控到所述指定類型函數(shù)被調用，且調用所述指定類型函數(shù)的地址位于所述待分析的數(shù)據(jù)塊的起止范圍之內時，判定所述數(shù)據(jù)流中包含漏洞利用。

所述方法還包括：

所述Loader管理模塊在嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行之前，將所述待分析的數(shù)據(jù)塊的起始位置以及塊大小通知給Monitor管理模塊；

所述Monitor管理模塊利用所述待分析的數(shù)據(jù)塊的起始位置以及所述塊大小對所述Loader管理模塊的指令執(zhí)行過程進行監(jiān)控；

如果所述Loader管理模塊在指令執(zhí)行過程中觸發(fā)異常，或者，所述Loader管理模塊在指令執(zhí)行過程中的執(zhí)行時間超過預設閾值，則：所述Monitor管理模塊中斷所述Loader管理模塊的指令執(zhí)行過程，調整所述Loader管理模塊的重新執(zhí)行的位置，并繼續(xù)由所述Loader管理模塊從所述待分析的數(shù)據(jù)塊的調整后的位置開始，嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行。

所述方法還包括：

所述Loader管理模塊在嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行之前，將所述Loader管理模塊當前已加載模塊的信息通知給Monitor管理模塊；

所述Monitor管理模塊利用所述Loader管理模塊當前已加載模塊的信息對所述Loader管理模塊的指令執(zhí)行過程進行監(jiān)控；

所述Monitor管理模塊在接收到所述Loader管理模在指令執(zhí)行過程中觸發(fā)的模塊加載事件，且加載的模塊不是所述Loader管理模塊當前已加載模塊時，則判定所述數(shù)據(jù)流中包含漏洞利用。

所述Loader管理模塊獲得數(shù)據(jù)流中待分析的數(shù)據(jù)塊的過程，具體包括：

所述Loader管理模塊獲得已經剝離網(wǎng)絡協(xié)議頭的負載數(shù)據(jù)，搜索負載數(shù)據(jù)中的指定特征，在發(fā)現(xiàn)指定特征之后再將相應的數(shù)據(jù)塊作為所述待分析的數(shù)據(jù)塊；或者，

所述Loader管理模塊獲得已經剝離網(wǎng)絡協(xié)議頭的負載數(shù)據(jù)，利用Shellcode中限制存在的字節(jié)集合將所述負載數(shù)據(jù)分割為多個數(shù)據(jù)子塊，且僅將數(shù)據(jù)子塊長度大于Shellcode預設最小指令長度的數(shù)據(jù)子塊作為所述待分析的數(shù)據(jù)塊。

所述Loader管理模塊具體為模擬存在緩沖區(qū)溢出漏洞的數(shù)據(jù)模擬執(zhí)行程序；所述Monitor管理模塊具體為對Loader管理模塊的各種異常和事件進行處理的處理程序。

本發(fā)明實施例提供一種漏洞利用的檢測系統(tǒng)，所述漏洞利用的檢測系統(tǒng)包括Loader管理模塊，且所述Loader管理模塊具體包括：

獲得單元，用于獲得數(shù)據(jù)流中待分析的數(shù)據(jù)塊；

第一處理單元，用于從所述待分析的數(shù)據(jù)塊的起始位置或者指定位置，嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行，并在嘗試將所述待分析的數(shù)據(jù)塊視為指令執(zhí)行的過程中，監(jiān)控漏洞利用程序中的指定類型函數(shù)調用；其中，所述指定類型函數(shù)在調用時，表示存在漏洞利用；