[发明专利]恶意代码检测方法和装置

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种恶意代码检测方法和装置。

背景技术

随着网络技术的发展和互联网资源的大范围使用，恶意代码对计算机系统安全及网络安全的威胁日益增加。恶意代码层出不穷，虽然各种恶意代码的检测技术也在不断的发展，但是总是滞后于恶意代码。一方面，恶意代码的欺骗隐藏技术使得人们难以分辨正常代码和恶意代码，另一方面，客户端往往缺乏合格的信息保护机制。

目前的恶意代码检测技术倾向于在客户端侧对恶意代码进行分析，无法在恶意代码到达客户端侧之前及时地识别出恶意代码，给出告警信息。

客户端侧特征码扫描是常见的恶意代码检测技术之一。在客户端侧进行特征码扫描的特点是将被检测文件与特征数据库中的恶意代码特征进行字符串匹配。常用的技术是将一个已知恶意代码样本进行静态反汇编或动态调试，提取指令片断，该指令片断能够唯一标识某种恶意代码特征。多个指令片断构成特征数据库。在被检测文件中查找是否含有特征数据库中的恶意代码特征串。

客户端侧特征码扫描技术要求在客户端侧引入恶意代码。恶意代码的隐藏和多副本，使本地系统有可能受到感染。另外，恶意代码的多态和变形技术，使对恶意代码的特征码扫描不足以检测出采用了反检测技术的恶意代码。

客户端侧特征码扫描技术还要求特征数据库保持最新，而特征数据库的更新总是落后于恶意代码的发展。

客户端侧完整性检测技术是另一种常见的恶意代码检测技术。该技术原理是，计算文件的一个值，用这个值来描述完整的正常文件的状态。一般使用哈希(HASH)算法计算文件的HASH值，该值放在安全数据库中。周期性对文件进行检测，当再次计算被检测文件的HASH值，与安全数据库中原有的值不同时，文件可能被感染。

同样，客户端侧完整性检测技术也无法避免在客户端侧引入恶意代码。并且，文件的值有可能一开始就不是安全值。这将影响以后的检测结果。正常应用程序对文件的修改，也将影响文件的HASH值。因此，客户端侧完整性检测技术虽然能检测出未知恶意代码，但是无法区分正常修改和恶意代码对文件的修改，误报率较高。

网络侧的恶意代码检测技术可以改进客户端侧检测无法避免的引入恶意代码的问题。网络入侵检测系统(Network Intrusion Detection System，NIDS)是发展较成熟的网络侧检测技术。

NIDS通过协议解析，将网络流进行特征匹配。检测的速度和粒度取决于协议解析的深度、特征匹配的速度和特征库的质量。同客户端侧的特征匹配技术一样，NIDS也无法检测出未知恶意代码。

发明内容

本发明实施例的目的是提供一种恶意代码检测方法和装置，解决了在网络侧不依赖特征库进行恶意代码检测的问题。

本发明实施例的目的是通过以下技术方案实现的：

一种恶意代码检测方法，包括：

网络设备将待检测的数据包作为指令进行逆向，构建指令序列；

在虚拟中央处理器(Central Process Unit，CPU)指令系统中执行所述指令序列；

当所述虚拟CPU指令系统对所述指令序列的执行效果符合预设特征时，所述网络设备对包括所述数据包的流量进行安全化处理。

一种网络设备，包括，构建模块、虚拟模块、判断模块和处理模块；其中，

所述构建模块，用于将待检测的数据包作为指令进行逆向，构建指令序列；

所述虚拟模块，用于虚拟至少一个CPU指令系统，在虚拟CPU指令系统中执行所述指令序列；

所述判断模块，用于当所述虚拟CPU指令系统对所述指令序列的执行效果符合预设特征时，通知所述处理模块；

所述处理模块，用于进行安全化处理。

采用本发明实施例提供的技术方案，因为采用网络侧的虚拟CPU指令系统检测恶意代码，能检测未知恶意代码，并且能检测采用了多态、变形、自我修改、间接跳转、非自我包含等多种反检测手段的恶意代码，因为判断标准在于恶意代码在虚拟机上的运行行为特征，不依赖特征码库能够检测到包含未知恶意代码的数据流，解决了在网络侧不依赖特征库进行恶意代码检测的问题。

附图说明

图1为本发明一个实施例中恶意代码检测方法流程图；

图2为本发明一个实施例中网络设备框图；

图3为本发明另一个实施例中在虚拟CPU指令系统中执行指令序列的流程图；

图4为本发明另一个实施例中网络设备框图；

图5为本发明又一个实施例中恶意代码检测方法流程图；

图6为本发明又一个实施例中网络设备框图；