[发明专利]恶意代码检测方法和装置

权利要求书

1.一种恶意代码检测方法，其特征在于，包括：

网络设备将待检测的数据包作为指令进行逆向，构建指令序列；

在虚拟中央处理器CPU指令系统中执行所述指令序列；

当所述虚拟CPU指令系统对所述指令序列的执行效果符合预设特征时，所述网络设备对包括所述数据包的流量进行安全化处理。

2.根据权利要求1所述的方法，其特征在于，在所述网络设备将待检测的数据包作为指令进行逆向，构建指令序列之前，还包括：

所述网络设备获取指定数据流的流量镜像；

对所述流量镜像进行协议分析；

根据所述协议分析的结果获得待检测的数据包。

3.根据权利要求2所述的方法，其特征在于，根据所述协议分析的结果获得待检测的数据包，包括：

将协议分析的结果作为待检测的数据包；或

根据分类原则，对所述协议分析的结果进行筛选，获得待检测的数据包。

4.根据权利要求3所述的方法，其特征在于，所述分类原则，包括：

当所述协议分析的结果的网际协议IP地址不在IP地址列表中时，丢弃所述协议分析的结果；或

当协议分析的结果的协议类型不在协议列表中时，丢弃协议分析的结果；或

当协议分析的结果的IP地址不在IP地址列表中，并且协议分析的结果的协议类型不在协议列表中时，丢弃协议分析的结果；或

当协议分析的结果的IP地址不在IP地址列表中，或者协议分析的结果的协议类型不在协议列表中时，丢弃协议分析的结果。

5.根据权利要求2或3所述的方法，其特征在于，在所述根据所述协议分析的结果获得待检测的数据包之后，还包括：

建立待检测的数据包的多层目录文档，检查所述多层目录文档的目录项的值，当所述目录项的值超过设定的阈值时，对包括目录项的流量进行安全化处理。

6.根据权利要求2或3所述的方法，其特征在于，在所述根据所述协议分析的结果获得待检测的数据包之后，还包括：

对相同协议类型的数据包进行HASH提取。

7.根据权利要求1所述的方法，其特征在于，所述网络设备将待检测的数据包作为指令进行逆向，构建指令序列，包括：

根据恶意代码特征库对待检测的数据包进行特征码匹配检测，当所述数据包匹配所述恶意代码特征库时，对包括所述数据包的流量进行安全化处理；

当所述数据包不匹配所述恶意代码特征库时，所述网络设备将待检测的数据包作为指令进行逆向，构建指令序列。

8.根据权利要求1所述的方法，其特征在于，所述将待检测的数据包作为指令进行逆向，构建指令序列，包括：

从所述数据包的每一个字节开始，进行逆向，分别构建指令序列。

9.根据权利要求1所述的方法，其特征在于，所述在虚拟中央处理器CPU指令系统中执行所述指令序列，包括：

获得指令序列首地址与指令序列数目，初始化虚拟CPU指令系统的指令缓冲区；

将虚拟CPU指令系统中的寄存器初始值赋为所述指令序列首地址；

当所述指令缓冲区中不存在指令指针时，将指令序列中的对应指令存放到所述指令缓冲区；

在当前指令为非法指令或特权指令时，对包括所述数据包的流量进行安全化处理；

执行当前指令，并相应改变指令寄存器指针。

10.根据权利要求1所述的方法，其特征在于，在所述网络设备将待检测的数据包作为指令进行逆向，构建指令序列之后，还包括：

扫描指令序列，当所述指令序列中存在限制符，且所述限制符与所述指令序列首地址的偏移，小于预设阈值时，不执行所述限制符之前的指令序列；或

扫描指令序列，当所述指令序列中存在限制符，且所述限制符与上一个限制符之间的偏移，小于预设阈值时，不执行所述限制符与所述上一个限制符之间的指令序列。