[发明专利]一种检测未知恶意代码和二进制漏洞的方法

说明书

本发明涉及一种检测未知恶意代码和二进制漏洞的方法，其包括以下步骤：(S100)基础搭建，其包括(S101)设置动态沙箱还原点；(S102)将代码载入动态沙箱。(S200)检测，其包括(S201)利用路径执行技术在可疑代码中寻找所有的可执行路径；(S202)动态强制执行所有代码路径；(S203)内存监控单元介入，监控代码执行动作；(S204)分析系统状态，记录未知恶意代码和漏洞路径；(S205)输出报警。(S300)系统还原，其包括重置沙箱，还原虚拟机。本发明步骤简单、合理，不仅能准确检测并判断未知病毒木马及未知恶意代码，而且检出率高、延迟低且防攻击能力强，适于推广与应用。

技术领域

本发明涉及信息安全领域中网络安全的检测判断技术领域，尤其涉及一种检测未知恶意代码和二进制漏洞的方法。

背景技术

传统方法检测未知恶意代码或者二进制漏洞，主要采用基于代码序列特征码(即特征匹配)检测、启发式检测、基于异常行为检测、基于行为结果检测四种检测技术，这四种方式主要工作原理是对程序进行特征匹配、通过大量样本分析程序调用的系统函数、监视程序运行的异常行为、分析代码执行后的运行结果和系统状态等。

这四种方式有误报率高、漏报率高、占用资源多、效率低、有效期短、防攻击能力弱等缺点。传统方法通常要对数据包进行解压、重组、分析等步骤的处理。在大流量、大规模的检测情况下，会极大的占用网络和设备资源，甚至影响正常业务的运行。而且采用特征匹配的方式无法检测最新式的未知恶意代码，只有恶意程序爆发并被采集分析，提取出特征码之后才能够进行有效检测，这样无疑会落后于未知恶意代码的攻击行动，造成了很大的安全隐患。随着互联网业务的快速发展，这些传统方式已经不适应现在的web环境。

上述可知，有必要对现有技术进一步完善。

发明内容

本发明是为了解决现有检测未知恶意代码或者二进制漏洞的方法误报率高、漏报率高、占用资源多、效率低、有效期短、防攻击能力弱等问题而提出一种不仅能准确检测并判断未知病毒木马及未知恶意代码，而且检出率高、延迟低且防攻击能力强的检测未知恶意代码和二进制漏洞的方法。

本发明是通过以下技术方案实现的：

上述的检测未知恶意代码和二进制漏洞的方法，其包括以下步骤：

(S100)基础搭建

依次包括(S101)设置动态沙箱还原点；(S102)将代码载入动态沙箱；

(S200)检测

依次包括(S201)利用路径执行技术在可疑代码中寻找所有的可执行路径；(S202)动态强制执行所有代码路径；(S203)内存监控单元介入，监控代码执行动作；(S204)分析系统状态，记录未知恶意代码和漏洞路径；(S205)输出报警；

(S300)系统还原，即重置沙箱，还原虚拟机。

所述检测未知恶意代码和二进制漏洞的方法，其中：所述步骤(S201)即指将恶意程序全部拆分为树形结构，检测时不受程序逻辑关系限制，独立检测每一个拆分的分支程序，在遇到call指令生成子进程时，将子进程标记检测；如果判断为混淆程序则舍弃子进程，同时加强程序为恶意代码程序的可能性；将检测结果与路径树和拆分索引比对，快速、准确定位恶意代码在程序中的位置，以便人工核实。

所述检测未知恶意代码和二进制漏洞的方法，其中：所述步骤(S203)即指将计算机操作系统在运行的过程中内容是完全一样的一部分空间，作为虚拟机使用。