[发明专利]一种漏洞利用的检测方法和系统

说明书

技术领域

本发明涉及信息安全和网络安全领域，尤其是涉及了一种漏洞利用的检测方法和系统。

背景技术

随着计算机与网络的普及，数字技术正在改变着、影响着人类的生活方式。高速发展中的互联网日夜不停地传输大量的文字、数字图形、声音、影像等数据流。检测、识别这些数据流中是否存在威胁的需求越来越广泛。

现有技术中，安全研究员获得漏洞利用样本，并根据该漏洞利用样本从数据流中提取相应的特征码，并通过比对特征库中的特征码以及数据流中提取的特征码，以检测数据流中是否存在具有安全威胁的漏洞利用。

但是，上述方式过于依赖于漏洞利用样本的特征，其无法检测到与已知漏洞利用样本不同的漏洞利用，而且由于漏洞利用样本众多，因此，根据漏洞利用样本从数据流中提取相应的特征码时还存在现实困难。

发明内容

本发明实施例提供一种漏洞利用的检测方法和系统，不仅可以避免依靠检测漏洞利用样本特征码的局限性，而且能够检测到与已知漏洞利用样本不同的漏洞利用和针对未知漏洞的利用，甚至是所有基于缓冲区溢出的攻击。

为了达到上述目的，本发明实施例提供一种漏洞利用的检测方法，所述方法包括以下步骤：

Loader管理模块获得数据流中待分析的数据块；

所述Loader管理模块从所述待分析的数据块的起始位置或者指定位置，尝试将所述待分析的数据块视为指令执行，并在尝试将所述待分析的数据块视为指令执行的过程中，监控漏洞利用程序中的指定类型函数调用；其中，所述指定类型函数在调用时，表示存在漏洞利用；

所述Loader管理模块在监控到所述指定类型函数被调用，且调用所述指定类型函数的地址位于所述待分析的数据块的起止范围之内时，判定所述数据流中包含漏洞利用。

所述方法还包括：

所述Loader管理模块在尝试将所述待分析的数据块视为指令执行之前，将所述待分析的数据块的起始位置以及块大小通知给Monitor管理模块；

所述Monitor管理模块利用所述待分析的数据块的起始位置以及所述块大小对所述Loader管理模块的指令执行过程进行监控；

如果所述Loader管理模块在指令执行过程中触发异常，或者，所述Loader管理模块在指令执行过程中的执行时间超过预设阈值，则：所述Monitor管理模块中断所述Loader管理模块的指令执行过程，调整所述Loader管理模块的重新执行的位置，并继续由所述Loader管理模块从所述待分析的数据块的调整后的位置开始，尝试将所述待分析的数据块视为指令执行。

所述方法还包括：

所述Loader管理模块在尝试将所述待分析的数据块视为指令执行之前，将所述Loader管理模块当前已加载模块的信息通知给Monitor管理模块；

所述Monitor管理模块利用所述Loader管理模块当前已加载模块的信息对所述Loader管理模块的指令执行过程进行监控；

所述Monitor管理模块在接收到所述Loader管理模在指令执行过程中触发的模块加载事件，且加载的模块不是所述Loader管理模块当前已加载模块时，则判定所述数据流中包含漏洞利用。

所述Loader管理模块获得数据流中待分析的数据块的过程，具体包括：

所述Loader管理模块获得已经剥离网络协议头的负载数据，搜索负载数据中的指定特征，在发现指定特征之后再将相应的数据块作为所述待分析的数据块；或者，

所述Loader管理模块获得已经剥离网络协议头的负载数据，利用Shellcode中限制存在的字节集合将所述负载数据分割为多个数据子块，且仅将数据子块长度大于Shellcode预设最小指令长度的数据子块作为所述待分析的数据块。

所述Loader管理模块具体为模拟存在缓冲区溢出漏洞的数据模拟执行程序；所述Monitor管理模块具体为对Loader管理模块的各种异常和事件进行处理的处理程序。

本发明实施例提供一种漏洞利用的检测系统，所述漏洞利用的检测系统包括Loader管理模块，且所述Loader管理模块具体包括：

获得单元，用于获得数据流中待分析的数据块；

第一处理单元，用于从所述待分析的数据块的起始位置或者指定位置，尝试将所述待分析的数据块视为指令执行，并在尝试将所述待分析的数据块视为指令执行的过程中，监控漏洞利用程序中的指定类型函数调用；其中，所述指定类型函数在调用时，表示存在漏洞利用；