[发明专利]0day漏洞的识别方法以及装置

权利要求书

1.一种0day漏洞的识别方法，其特征在于，包括：

将待检测文件过漏洞基础数据库，查看是否能够得到漏洞编号；所述漏洞基础数据库为已知漏洞数据库，数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑，所述漏洞编号和漏洞检测逻辑均唯一并且一一对应；

若没有得到漏洞编号，则根据所述待检测文件的类型确定所述待检测文件是否为恶意文件，所述待检测文件为html文件或文档文件；

若确定所述待检测文件为恶意文件，则确定所述待检测文件中的漏洞为0day漏洞；

当所述待检测文件为文档文件时，根据所述待检测文件的类型确定所述待检测文件是否为恶意文件包括：构建指令虚拟机；在所述指令虚拟机中按字节运行该文档文件，记录该文档文件运行的行为；将记录的行为与预定义的恶意行为规则库中的行为进行匹配；若匹配到对应的行为，则确定所述待检测文件为恶意文件；若没有匹配到对应的行为，则确定所述待检测文件为正常文件。

2.根据权利要求1所述的方法，其特征在于，将待检测文件过漏洞基础数据库包括：

获取所述待检测文件的类型；

根据所述待检测文件的类型遍历漏洞基础数据库获取该类型文件对应的漏洞检测逻辑；

根据获取的所述漏洞检测逻辑对所述待检测文件进行检测。

3.根据权利要求1所述的方法，其特征在于，当所述待检测文件为html文件时，根据所述待检测文件的类型确定所述待检测文件是否为恶意文件包括：

检测所述html文件中是否存在恶意特征；

若存在恶意特征，则确定所述html文件为恶意文件；

若不存在恶意特征，则确定所述html文件为正常文件。

4.根据权利要求1所述的方法，其特征在于，所述构建指令虚拟机包括：

设置用于按字节读取文档文件的指令读取模块；

设置用于对指令读取模块读取的文档文件进行解释的解释模块；

构建指令运行的模拟环境，所述模拟环境包括指令运行的线程、进程、栈、堆、系数数据和内置系统API模拟；所述内置系统API模拟包括文件、进程、注册表、网络API。

5.根据权利要求1-4中任一项所述的方法，其特征在于，在将待检测文件过漏洞基础数据库之前还包括：

获取已识别的漏洞以及该漏洞的属性信息，所述属性信息包括漏洞编号、漏洞存在的文件类型以及漏洞检测逻辑；

将每个已识别漏洞的属性信息以一条记录的形式存储在数据库中建立漏洞基础数据库。

6.根据权利要求1所述的方法，其特征在于，还包括：

若得到漏洞编号，则唯一的确定待检测文件中的漏洞。

7.一种0day漏洞的识别装置，其特征在于，包括：

查看单元，用于将待检测文件过漏洞基础数据库，查看是否能够得到漏洞编号；所述漏洞基础数据库为已知漏洞数据库，数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑，所述漏洞编号和漏洞检测逻辑均唯一并且一一对应；

第一确定单元，用于当查看单元没有得到漏洞编号时，根据所述待检测文件的类型确定所述待检测文件是否为恶意文件，所述待检测文件为html文件或文档文件；

第二确定单元，用于当第一确定单元确定所述待检测文件为恶意文件时，确定所述待检测文件中的漏洞为0day漏洞；

当所述待检测文件为文档文件时，所述第一确定单元包括：构建模块，用于构建指令虚拟机；运行模块，用于在所述指令虚拟机中按字节运行该文档文件；记录模块，用于记录该文档文件运行的行为；匹配模块，用于将记录的行为与预定义的恶意行为规则库中的行为进行匹配；第二确定模块，用于当匹配模块匹配到对应的行为时，确定所述待检测文件为恶意文件；所述第二确定模块还用于，当匹配模块没有匹配到对应的行为时，确定所述待检测文件为正常文件。

8.根据权利要求7所述的装置，其特征在于，所述查看单元将待检测文件过漏洞基础数据库包括：

获取所述待检测文件的类型；

根据所述待检测文件的类型遍历漏洞基础数据库获取该类型文件对应的漏洞检测逻辑；

根据获取的所述漏洞检测逻辑对所述待检测文件进行检测。