[发明专利]数据检测方法及装置

权利要求书

1.一种数据检测方法，包括：

在资源隔离环境中，运行待检测数据；

针对运行所述待检测数据产生的内存请求，分配连续的N个内存单元，其中，内存单元为内存分配的单位，N大于1，前N-1个内存单元用于满足内存请求，第N个内存单元的属性被设置为不可访问；

根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测。

2.根据权利要求1所述的方法，其中，所述在资源隔离环境中，运行待检测数据的步骤包括：

针对可执行类型的待检测数据，在安装有操作系统的资源隔离环境中，执行所述待检测数据；

针对不可执行类型的待检测数据，在安装有所述待检测数据对应的应用程序的资源隔离环境中，打开所述待检测数据。

3.根据权利要求2所述的方法，其中，所述资源隔离环境中所安装的应用程序包括：最新版本且更新了全量补丁包的应用程序。

4.根据权利要求1所述的方法，其中，所述资源隔离环境为沙盒。

5.根据权利要求4所述的方法，其中，所述在资源隔离环境中，运行待检测数据的步骤包括：

将从待检测数据集合中获取的待检测数据调度到沙盒集群中的其中一个沙盒中运行。

6.根据权利要求5所述的方法，其中，所述将从待检测数据集合中获取的待检测数据调度到沙盒集群中的其中一个沙盒中运行的步骤包括：

根据从待检测数据集合中获取的待检测数据的数据内容中的数据类型指纹信息确定待检测数据对应的检测任务队列；

将待检测数据添加到其对应的检测任务队列中；

将检测任务队列中的待检测数据分配到沙盒集群中的一个与所述待检测数据的类型适配的沙盒中运行。

7.根据权利要求1所述的方法，其中，所述分配连续的N个内存单元的步骤包括：

从第N-1个内存单元的尾部开始，向前计算出与所述内存请求所请求的内存空间大小相等的内存空间的起始地址，并返回所述起始地址。

8.根据权利要求1所述的方法，其中，所述方法还包括：

在所述N个内存单元被释放而回收时，将前N-1个内存单元的属性设置为不可访问。

9.根据权利要求8所述的方法，其中，所述分配连续的N个内存单元的步骤包括：

将针对所述内存请求分配的前N-1个内存单元的属性设置为可访问。

10.根据权利要求1至9中任一权利要求所述的方法，其中，所述方法还包括：

在检测到运行的待检测数据执行了创建进程行为、读写其他进程行为以及崩溃行为时，产生行为异常信息；

且所述根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测的步骤包括：

根据属性被设置为不可访问的内存单元被访问而产生的异常信息以及所述行为异常信息，对待检测数据进行检测。

11.根据权利要求1至9中任一权利要求所述的方法，其中，所述方法还包括：

通过数据包抓包方式获取网络连接请求；

且所述根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测的步骤包括：

根据属性被设置为不可访问的内存单元被访问而产生的异常信息以及所述网络连接请求，对待检测数据进行检测。

12.一种数据检测装置，其中，所述装置包括：

数据分配模块，用于在资源隔离环境中，运行待检测数据；

内存分配模块，用于针对运行所述待检测数据产生的内存请求，分配连续的N个内存单元，其中，内存单元为内存分配的单位，N大于1，前N-1个内存单元用于满足内存请求，第N个内存单元的属性被设置为不可访问；

信息分析模块，用于根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测。

13.根据权利要求12所述的装置，其中，所述数据分配模块具体用于：

针对可执行类型的待检测数据，在安装有操作系统的资源隔离环境中，执行所述待检测数据；

针对不可执行类型的待检测数据，在安装有所述待检测数据对应的应用程序的资源隔离环境中，打开所述待检测数据。