[发明专利]0day漏洞的识别方法以及装置

说明书

技术领域

本发明涉及一种信息安全领域，特别是涉及一种0day漏洞的识别方法以及装置。

背景技术

随着社会信息化的不断发展，网络安全漏洞也在不断增加。当发现存在漏洞时，需要及时通过相关补丁对该漏洞进行修复。该类已经发现并且已经发布修复补丁的漏洞称为已知漏洞；而已经发现但是还没有给出相关补丁对该漏洞进行修复的漏洞称为0day漏洞。由于没有及时对0day漏洞进行修复，攻击者可通过0day漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或者破坏系统，从而危害计算机系统的安全。

目前0day漏洞的检测方法基本上依靠人的经验进行判断，该种判断方式不能快速、精确地检测出0day漏洞，同时人工匹配的方式增加了对0day漏洞的误判率，从而使计算机系统的安全受到威胁。

发明内容

有鉴于此，本发明实施例提供一种0day漏洞的识别方法以及装置，主要目的在于快速、精确地检测出0day漏洞，从而能够保护计算机系统的安全。

依据本发明一个方面，提供了一种0day漏洞的识别方法，包括：

将待检测文件过漏洞基础数据库，查看是否能够得到漏洞编号；所述漏洞基础数据库为已知漏洞数据库，数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑，所述漏洞编号和漏洞检测逻辑均唯一并且一一对应；

若没有得到漏洞编号，则根据所述待检测文件的类型确定所述待检测文件是否为恶意文件；

若确定所述待检测文件为恶意文件，则确定所述待检测文件中的漏洞为0day漏洞。

根据本发明的另一个方面，提供了一种0day漏洞的识别装置，包括：

查看单元，用于将待检测文件过漏洞基础数据库，查看是否能够得到漏洞编号；所述漏洞基础数据库为已知漏洞数据库，数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑，所述漏洞编号和漏洞检测逻辑均唯一并且一一对应；

第一确定单元，用于当查看单元没有得到漏洞编号时，根据所述待检测文件的类型确定所述待检测文件是否为恶意文件；

第二确定单元，用于当第一确定单元确定所述待检测文件为恶意文件时，确定所述待检测文件中的漏洞为0day漏洞。

借由上述技术方案，本发明提供的一种0day漏洞的识别方法以及装置，在识别0day漏洞时是基于漏洞基础数据库进行，该漏洞基础数据库为已知漏洞数据库，该已知漏洞数据库中存储有现有的所有已知漏洞，并且漏洞数据库中的每一条漏洞信息都对应漏洞唯一的检测逻辑，将待检测文件通过漏洞数据库中的漏洞检测逻辑进行检测，若能够得到检测出漏洞，那么该检测出的漏洞一定是已知漏洞，若没有检测到漏洞，但是后来又分析出漏洞，则该后分析出的漏洞必定是0day漏洞，整个过程按照规则流程自动执行，与现有技术中人工检测0day漏洞的方式相比快速准确。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种0day漏洞的识别方法的流程图；

图2示出了本发明实施例提供的一种将待检测文件过漏洞基础数据库的流程图；

图3示出了本发明实施例提供的一种文件的类型为html文件时的恶意文件的识别方法流程图；

图4示出了本发明实施例提供的一种文件的类型为文档文件时的恶意文件的识别方法流程图；

图5示出了本发明实施例提供的一种漏洞基础数据库的建立方法的流程图；

图6示出了本发明实施例提供的一种0day漏洞的识别装置的组成框图；

图7示出了本发明实施例提供的另一种0day漏洞的识别装置的组成框图；

图8示出了本发明实施例提供的另一种0day漏洞的识别装置的组成框图；

图9示出了本发明实施例提供的另一种0day漏洞的识别装置的组成框图；

图10示出了本发明实施例提供的另一种0day漏洞的识别装置的组成框图。

具体实施方式