[发明专利]数据检测方法及装置

说明书

技术领域

本申请涉及计算机技术，尤其涉及一种数据检测方法以及数据检测装置。

背景技术

一些个人、企业以及集团等用户通常需要对外来文件(如电子邮件的附件等)进行安全检测，以避免外来文件的恶意网络攻击；而对于大型企业及集团用户而言，需要进行安全检测的外来文件往往是海量文件。

目前，通常采用杀毒软件与沙盒(Sandbox)相结合的方式来实现安全检测，即先利用杀毒软件对电子邮件的附件进行快速检测，以过滤出携带有病毒的恶意附件，针对未被过滤掉的附件，在沙盒空间中模拟用户操作打开电子邮件的附件，并记录例如相关应用程序(如Microsoft Word等)的进程行为、网络行为、文件行为以及注册表行为等多种行为，从而形成日志信息；在等待超时或应用程序自动退出后，调用行为解析引擎对日志信息进行分析，以判断该附件是否为恶意文件。

发明人在实现本申请过程中发现，由于杀毒软件是基于病毒签名进行快速检测的，因此，杀毒软件仅能够检测出携带有已知病毒的恶意附件，并不能检测出携带有未知病毒的恶意附件，如无法检测出携带有攻击应用程序的未知安全漏洞(尤其是0day安全漏洞)的恶意附件；沙盒技术虽然可以通过对应用程序的行为分析而检测出携带有未知病毒的恶意附件，但是，为了全面检测出携带有未知病毒的恶意附件，通常需要对应用程序的各种行为进行详细记录，从而不但使安全检测方案(如沙盒引擎)自身设计较庞大，而且还存在日志信息占用资源较大、行为分析时间较长以及超时时间不能设置的过短(如超时时间不短于3分钟或者5分钟等)等问题，这不仅会使得安全检测的效率较低，且实现成本较高，而且无法很好的满足对海量文件的安全检测需求。

发明内容

本申请的目的是提供一种数据检测方法及装置。

根据本申请提供的一个方面，提供了一种数据检测方法，该方法包括：在资源隔离环境中，运行待检测数据；针对运行所述待检测数据产生的内存请求，分配连续的N个内存单元，其中，内存单元为内存分配的单位，N大于1，前N-1个内存单元用于满足内存请求，第N个内存单元的属性被设置为不可访问；根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测。

根据本申请提供的另一个方面，还提供了一种数据检测装置，该装置包括：数据分配模块，用于在资源隔离环境中，运行待检测数据；内存分配模块，用于针对运行所述待检测数据产生的内存请求，分配连续的N个内存单元，其中，内存单元为内存分配的单位，N大于1，前N-1个内存单元用于满足内存请求，第N个内存单元的属性被设置为不可访问；信息分析模块，用于根据属性被设置为不可访问的内存单元被访问而产生的异常信息，对待检测数据进行检测。

可选的，前述的数据检测装置，其中，所述数据分配模块具体用于：

针对可执行类型的待检测数据，在安装有操作系统的资源隔离环境中，执行所述待检测数据；

针对不可执行类型的待检测数据，在安装有所述待检测数据对应的应用程序的资源隔离环境中，打开所述待检测数据。

可选的，前述的数据检测装置，其中，所述资源隔离环境中所安装的应用程序包括：最新版本且更新了全量补丁包的应用程序。

可选的，前述的数据检测装置，其中，所述装置包括：一个或者多个沙盒，所述沙盒用于实现资源隔离环境，且在所述装置包括多个沙盒时，所有沙盒形成沙盒集群。

可选的，前述的数据检测装置，其中，所述数据分配模块具体用于：

将从待检测数据集合中获取的待检测数据调度到沙盒集群中的其中一个沙盒中运行。

可选的，前述的数据检测装置，其中，所述数据分配模块包括：

待检测数据集合，包括至少一个待检测数据；

多个检测任务队列，每一个检测任务队列对应一种类型的待检测数据；

样本投递器，用于从所述待检测数据集合中获取待检测数据，根据待检测数据的数据内容中的数据类型指纹信息确定待检测数据对应的检测任务队列，并将待检测数据添加到其对应的应用程序的检测任务队列中；

沙盒调度器，用于将检测任务队列中的待检测数据分配到沙盒集群中的一个与所述待检测数据的类型适配的沙盒中运行。

可选的，前述的数据检测装置，其中，所述内存分配模块具体用于：

从第N-1个内存单元的尾部开始，向前计算出与所述内存请求所请求的内存空间大小相等的内存空间的起始地址，并返回所述起始地址。

可选的，前述的数据检测装置，其中，所述装置还包括：