[发明专利]恶意数据的检测方法、装置、存储介质及处理器

说明书

本申请公开了一种恶意数据的检测方法、装置、存储介质及处理器。该方法包括：在沙箱系统中，获取目标数据的结构信息，其中，结构信息至少包括指向目标数据的栈顶指针；判断结构信息中是否存在目标攻击指针，其中，目标攻击指针为指向恶意数据的指针；若结构信息中存在目标攻击指针，获取目标攻击指针的数量信息；根据数量信息确定目标数据为恶意数据。通过本申请，解决了相关技术中恶意数据检测效率较低的问题。

技术领域

本申请涉及信息安全技术领域，具体而言，涉及一种恶意数据的检测方法、装置、存储介质及处理器。

背景技术

软件漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误。在现实攻防对抗中，黑客会利用软件漏洞在受害者机器上运行黑客想要运行的恶意代码，从而控制受害者的机器。漏洞利用技术有很多，如，ROP攻击技术。

相关技术中通过插桩的方式获取指令流，再用数学方法计算统计指令ROP攻击特征，但是这种方案需要获取并保存大量的汇编指令，这会消耗大量的计算资源，难以在实际的大规模沙箱系统中运用。

针对相关技术中恶意数据检测效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种恶意数据的检测方法、装置、存储介质及处理器，以解决相关技术中恶意数据检测效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种恶意数据的检测方法。该方法包括：在沙箱系统中，获取目标数据的结构信息，其中，结构信息至少包括指向目标数据的栈顶指针；判断结构信息中是否存在目标攻击指针，其中，目标攻击指针为指向恶意数据的指针；若结构信息中存在目标攻击指针，获取目标攻击指针的数量信息；根据数量信息确定目标数据为恶意数据。

进一步地，在获取目标数据的结构信息之前，该方法还包括：接收待检测的数据；确定待检测的数据的栈顶指针；根据目标接口从栈顶指针位置处获取第一预设字节的数据，其中，第一预设字节的数据是通过对待检测的数据进行截取得到的；将第一预设字节的数据作为目标数据。

进一步地，在判断结构信息中是否存在目标攻击指针之前，该方法还包括：将第一预设字节的数据进行分组，得到多个第二预设字节的数据，其中，第一预设字节大于第二预设字节；遍历每个第二预设字节的数据的结构信息，得到遍历结果。

进一步地，判断结构信息中是否存在目标攻击指针包括：若遍历结果指示结构信息中存在目标系统指针，将目标系统指针进行存储；判断目标系统指针是否为指向预设汇编指令的指针，其中，预设汇编指令为恶意数据的执行代码；若目标系统指针为指向预设汇编指令的指针，则确定目标系统指针为指向恶意数据的二级指针；在目标系统指针为指向恶意数据的二级指针的情况下，确定结构信息中存在目标攻击指针。

进一步地，根据数量信息确定目标数据为恶意数据包括：判断目标攻击指针的数量信息是否大于目标阈值；若目标攻击指针的数量信息大于目标阈值，确定目标数据为恶意数据。

进一步地，在根据数量信息确定目标数据为恶意数据之后，该方法还包括：将目标数据进行标记，得到标记后的数据；输出标记后的数据。

为了实现上述目的，根据本申请的另一方面，提供了一种恶意数据的检测装置。该装置包括：第一获取单元，用于在沙箱系统中，获取目标数据的结构信息，其中，结构信息至少包括指向目标数据的栈顶指针；判断单元，用于判断结构信息中是否存在目标攻击指针，其中，目标攻击指针为指向恶意数据的指针；第二获取单元，用于若结构信息中存在目标攻击指针，获取目标攻击指针的数量信息；第一确定单元，用于根据数量信息确定目标数据为恶意数据。