[发明专利]漏洞检测方法和装置

说明书

本申请提供了一种漏洞检测方法和装置，所述漏洞检测方法包括：将待检测文件放入与该待检测文件的实际执行环境隔离的独立空间中执行；收集所述待检测文件在所述独立空间中执行的函数序列；从所述函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合，所述函数属性指示特定漏洞在具有或排除特定函数、以及按特定顺序具有特定函数方面的属性；如果存在与特定漏洞所关联的全部函数属性相匹配的函数集合，则检测出所述待检测文件中存在漏洞。本申请实施例可以有效地检测出软件中的漏洞，尤其是可以有效地检测出逻辑漏洞。

技术领域

本申请涉及信息安全，尤其涉及一种漏洞检测方法和装置。

背景技术

漏洞通常是指一个软件设计时存在的缺陷或编码时产生的错误，从而基于该缺陷或错误可能使该软件遭受到攻击。

现有的漏洞检测方法通常采用静态检测(包括现有的正向漏洞检测和逆向漏洞检测)。即通过采集大量漏洞的样本，判断软件中的待检测文件中是否存在与大量样本之一相同的特征函数和特征函数所带的参数，如果存在，则判断所述待检测文件中存在漏洞。例如，对于样本之一f($a)所包含的特征函数为f()以及该特征函数所带的参数为$a，如果待检测文件中存在f($a)，则判断所述待检测文件中存在漏洞。但是，现有的这种判断方式存在局限性，只能有效地判断特征函数和特征函数所带的参数明显与样本相同的漏洞，不适合检测复杂性相对较高的逻辑漏洞(即存在逻辑缺陷的漏洞)。

其中，常见的逻辑漏洞为在线支付逻辑漏洞，例如某支付应用程序的关键步骤数据包中直接传递需要支付的金额，传递过程没有签名算法的认证，从而导致攻击者可以随意篡改所述金额，由于该类漏洞涉及的是应用程序的整体分析，无法通过现有技术中简单的特征函数及特征函数所带的参数的匹配进行准确地判断，有必要提供一种适合判断该类漏洞的检测方法和装置。

发明内容

本申请的目的之一是提升对软件中的待检测文件的漏洞尤其是逻辑漏洞进行检测的准确性。

根据本申请的一个方面，提供了一种漏洞检测方法，其中所述漏洞检测方法包括：

将待检测文件放入与该待检测文件的实际执行环境隔离的独立空间中执行；

收集所述待检测文件在所述独立空间中执行的函数序列；

从所述函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合，所述函数属性指示特定漏洞在具有或排除特定函数、以及按特定顺序具有特定函数方面的属性；

如果存在与特定漏洞所关联的全部函数属性相匹配的函数集合，则检测出所述待检测文件中存在漏洞。

根据本申请的另一个方面，还提供了一种漏洞检测装置，包括：

文件放入单元，被配置为将待检测文件放入与该待检测文件的实际执行环境隔离的独立空间中执行；

收集单元，被配置为收集所述待检测文件在所述独立空间中执行的函数序列；

函数判断单元，被配置为全部函数属性从所述函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合，所述函数属性指示特定漏洞在具有或排除特定函数、以及按特定顺序具有特定函数方面的属性；

漏洞检测单元，被配置为如果存在与特定漏洞所关联的全部函数属性相匹配的函数集合，则检测出所述待检测文件中存在漏洞。

与现有技术相比，本申请实施例具有以下优点：本申请实施例通过判断待检测文件执行过程中的函数序列是否存在于特定漏洞所包含的函数属性相匹配的函数集合，从而有效地检测出待检测文件是否存在漏洞或/和存在何种漏洞，相对于现有的静态检测技术，本申请可以从文件的整体执行过程上判断待检测文件是否存在漏洞，从而提升对逻辑漏洞检测的准确性。

附图说明