[发明专利]一种样本动态检测方法及装置

说明书

本发明公开了一种样本动态检测方法及装置，涉及网络安全技术领域，在运行待检测样本的过程中能够有效识别出潜在恶意样本，以便于利用这样的潜在恶意样本去检测识别是否为变种样本，避免变种样本被漏检漏报。本发明的主要技术方案为：获取待检测样本，将所述待检测样本编译成第一机器码；判断所述第一机器码中是否包含可控变量；若所述第一机器码中包含可控变量，则确定所述待检测样本为潜在恶意样本。本发明主要应用于动态检测样本是否为潜在恶意样本。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种样本动态检测方法及装置。

背景技术

目前，样本检测技术主要是从常见的webshell里提取出关键字作为比对特征，如果关键字匹配，则可以查找到相应的样本而完成检测操作。其中，webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。

但是，语言本身非常灵活，写法多种多样，对于那些加密、编码、拼接等处理的变种样本，如果采用现有的比对特征的检测方案，是难以被检测识别出来的，导致这些变种样本会被漏报。

发明内容

有鉴于此，本发明提供一种样本动态检测方法及装置，主要目的在于在运行待检测样本的过程中动态跟踪识别是否包含危险的可控变量，若是则判定为潜在恶意样本，以便于利用这样的潜在恶意样本去检测识别是否为变种样本，避免变种样本被漏检漏报。

本申请第一方面提供了一种样本动态检测方法，该方法包括：

获取待检测样本，将所述待检测样本编译成第一机器码；

判断所述第一机器码中是否包含可控变量；

若所述第一机器码中包含可控变量，则确定所述待检测样本为潜在恶意样本。

在本申请第一方面的一些变更实施方式中，所述方法还包括：

在运行包含所述待检测样本的样本集合的过程中，对所述样本集合中的可控变量添加标记，所述标记用于唯一标识对应的所述可控变量。

在本申请第一方面的一些变更实施方式中，所述判断所述第一机器码中是否包含可控变量，包括：

判断所述第一机器码中是否包含所述标记。

在本申请第一方面的一些变更实施方式中，在判断所述第一机器码中包含可控变量之后，所述方法还包括：

从所述第一机器码中提取预设危险函数对应的第二机器码；

判断所述第二机器码中是否包含所述可控变量；

若所述第二机器码中包含所述可控变量，则确定所述待检测样本为目标恶意样本。

在本申请第一方面的一些变更实施方式中，所述判断所述第二机器码中是否包含可控变量，包括：

判断所述第二机器码中是否包含所述标记。

在本申请第一方面的一些变更实施方式中，在所述从所述第一机器码中提取预设危险函数对应的第二机器码之后，所述方法还包括：

获取所述第二机器码内包含的参数；

判断所述参数的参数值是否为预设高危命令对应的字符串；

若是，则确定所述第二机器码对应的预设危险函数内包含非法内容，将所述待检测样本为目标恶意样本。

在本申请第一方面的一些变更实施方式中，所述预设危险函数的类型，包括：

代码执行类、文件包含类、命令执行类、数组调用类中的至少一种。