[发明专利]确定漏洞利用样本文件的方法和设备

说明书

本发明公开了一种确定漏洞利用样本文件的方法和设备。其中，该方法包括：响应于检测到的漏洞利用行为，查找在漏洞利用行为之前的预定时间内与漏洞利用行为相关的可疑文件；对与可疑文件相关联的行为链进行分析，其中行为链包括与可疑文件相关联的行为的集合；以及基于对行为链进行分析的分析结果，从可疑文件中确定触发漏洞利用行为的漏洞利用样本文件。本发明解决了现有漏洞样本检测不能有效检测存在变形、混淆的漏洞利用代码，更对一些未知的漏洞利用样本存在很大的局限性的技术问题。

技术领域

本发明涉及网络技术领域，具体而言，涉及一种确定漏洞利用样本文件的方法和设备。

背景技术

目前比较常用的漏洞检测方法，主要基于已知漏洞利用代码的二进制特征，目前主要有三种：基于漏洞特征检测、基于Exploit特征检测、基于攻击特征检测。

1)基于漏洞特征检测：对漏洞利用行为的手段和技术细节比较了解后，研究其触发攻击的必要条件，可以分析出其对应的识别规则，例如缓存区溢出检测、目录遍历检测、远程命令注入检测、远程文件包含检测等；

2)基于Exploit特征检测：从漏洞利用程序中分析独特特征，作为识别规则，例如返回地址检测、ROP Chain检测等；

3)基于攻击特征检测：通过检测漏洞利用相关的相对独立的组件来发现攻击，例如shellcode代码检测、畸形参数攻击检测等等。

现有漏洞样本检测不能有效检测存在变形、混淆的漏洞利用代码，更对一些未知的漏洞利用样本存在很大的局限性。

针对上述现有漏洞样本检测不能有效检测存在变形、混淆的漏洞利用代码，更对一些未知的漏洞利用样本存在很大的局限性的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种确定漏洞利用样本文件的方法和设备，以至少解决现有漏洞样本检测不能有效检测存在变形、混淆的漏洞利用代码，更对一些未知的漏洞利用样本存在很大的局限性的技术问题。

根据本发明实施例的一个方面，提供了一种用于确定漏洞利用样本文件的方法，包括：响应于检测到的漏洞利用行为，查找在漏洞利用行为之前的预定时间内与漏洞利用行为相关的可疑文件；对与可疑文件相关联的行为链进行分析，其中行为链包括与可疑文件相关联的行为的集合；以及基于对行为链进行分析的分析结果，从可疑文件中确定为触发漏洞利用行为的漏洞利用样本文件。

可选地，对与可疑文件相关联的行为链进行分析的操作，包括：根据检测到的可疑文件，确定与可疑文件相关联的文件信息，其中文件信息用于描述在漏洞利用行为之前的预定时间内，与可疑文件相关的信息；以及基于文件信息，对与可疑文件相关联的行为链进行分析。

可选地，文件信息包括以下至少一种信息：可疑文件的统一资源定位符、可疑文件的文件关系链的信息以及与可疑文件相关联的异常行为的信息。

可选地，异常行为包括篡改系统配置和/或篡改浏览器首页。

可选地，对与可疑文件相关联的行为链进行分析的操作，包括：基于统一资源定位符的信息和/或文件关系链的信息，确定可疑文件的文件来源。

可选地，从可疑文件中确定漏洞利用样本文件的操作，包括：将文件来源为非法来源的可疑文件确定为漏洞利用样本文件。

可选地，对与可疑文件相关联的行为链进行分析的操作，包括：基于统一资源定位符的信息和/或文件关系链的信息，确定可疑文件的链网行为。

可选地，从可疑文件中确定漏洞利用样本文件的操作，包括：将链网行为中存在非法行为的可疑文件确定为漏洞利用样本文件。

可选地，方法还包括：对漏洞利用样本进行拦截预警提示。