本發明專利技術公開一種數據檢測方法和裝置,該方法包括:獲取待檢測的機器碼流對應的機器指令;判斷連續的合法機器指令的數目是否達到預定的閾值;如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。本發明專利技術的方案中,通過對連續的機器指令進行計數的方式進行檢測,不需要提取惡意樣本,因此在病毒變種或者面對新的惡意代碼時,不會由于確認惡意樣本而無法識別,具有較好的適應性和較快的應變能力,此外,不需要運行樣本,具有較高的檢出率,檢測準確率較高。
【技術實現步驟摘要】
本專利技術涉及數據檢測
,尤指一種數據檢測方法和裝置。
技術介紹
目前,主要通過兩種方式對數據中的惡意代碼進行檢測,一種是基于傳統特征進行檢測,例如殺毒軟件通常采用這種方式,一個是基于行為進行檢測,例如沙箱通常采用這種方式。基于傳統特征進行檢測的方式中,都是先由安全廠商的安全分析人員在已捕獲惡意樣本的前提下,對樣本進行特征提取,并通過提取的特征對惡意代碼進行檢測。傳統特征方式,檢測準確,效率高,但由于其特征一般都是無意義的二進制數據(比如文件的MD5值),提取的內容通常只用于確定惡意樣本,沒有額外的功能,在遇到病毒變種,或新的惡意代碼時,它通常無能為力,需要通過安全分析人員重新根據捕獲的惡意樣本進行特征提取。基于行為進行檢測的方式中,通常是讓樣本在虛擬環境中運行起來,通過分析樣本的行為來確定樣本中是否存在惡意代碼。這種方式的一個重要弊端是,只有惡意代碼運行起來,才能被檢測到,如果因為環境不符,沙箱對抗等原因,導致惡意代碼沒有運行,則惡意代碼無法被檢測到,因此這種方式的檢測準確率較低。
技術實現思路
為了解決上述問題,本專利技術提出了一種數據檢測方法和裝置,能夠提高惡意代碼的檢測效率和檢出率。為了解決上述技術問題,本專利技術提出了一種數據檢測方法,包括:獲取待檢測的機器碼流對應的機器指令;判斷連續的合法機器指令的數目是否達到預定的閾值;如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。優選的,所述獲取待檢測的機器碼流對應的機器指令包括:根據當前數據地址,對機器碼流進行翻譯,獲取翻譯得到的機器指令;在所述翻譯執行之后,還包括:將當前數據地址跟新為指向下一段未翻譯的機器碼流。優選的,所述判斷連續的合法機器指令的數目是否達到預定的閾值包括:在翻譯不能獲得合法機器指令的情況下,將指令計數器設置為0,繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟;在翻譯得到一條合法機器指令的情況下,將指令計數器加1;判斷指令計數器的計數數目是否達到預定的閾值;如果沒達到,則判斷待檢測的機器碼流是否已全部翻譯完畢;如果沒有全部翻譯完畢,則繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟。優選的,在所述獲取待檢測的機器碼流對應的機器指令之后,所述方法還包括:判斷所述機器指令是否為跳轉指令;在所述機器指令不是跳轉指令的情況下,繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟;在該機器指令是跳轉指令的情況下,根據跳轉指令的內容更新當前數據地址,繼續執行所述根據當前數據地址,對機器碼進行翻譯的步驟。優選的,所述預定的閾值設置為50~150。為了解決上述技術問題,本專利技術還提出了一種數據檢測裝置,所述裝置包括:翻譯單元,用于獲取待檢測的機器碼流對應的機器指令;檢測單元,用于判斷連續的合法機器指令的數目是否達到預定的閾值;結果判斷單元,用于在連續的合法機器指令的數目達到預定的閾值時,則判斷待檢測的機器碼流中存在可疑代碼。優選的,所述翻譯單元包括:翻譯模塊,用于根據當前數據地址,對機器碼流進行翻譯,獲取翻譯得到的機器指令;地址更新模塊,用于在翻譯模塊執行翻譯之后,將當前數據地址跟新為指向下一段未翻譯的機器碼流。優選的,所述檢測單元包括:指令計數模塊,用于在翻譯單元執行翻譯不能獲得合法機器指令的情況下,將指令計數器設置為0,并繼續通過翻譯模塊執行所述根據當前數據地址,對機器碼流進行翻譯;在翻譯單元執行翻譯得到一條合法機器指令的情況下,將指令計數器加1;計數檢測模塊,用于判斷指令計數器的計數數目是否達到預定的閾值;如果沒達到,則判斷待檢測的機器碼流是否已全部翻譯完畢;如果沒有全部翻譯完畢,則繼續通過翻譯模塊執行所述根據當前數據地址,對機器碼流進行翻譯。優選的,所述檢測單元還包括:跳轉檢測模塊,用于在翻譯單元獲取待檢測的機器碼流對應的機器指令之后,判斷所述機器指令是否為跳轉指令;在該機器指令是跳轉指令的情況下,通知地址更新模塊根據跳轉指令的內容更新當前數據地址。優選的,所述預定的閾值設置為50~150。與現有技術相比,本專利技術提供的技術方案包括:獲取待檢測的機器碼流對應的機器指令;判斷連續的合法機器指令的數目是否達到預定的閾值;如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。通過本專利技術的方案,通過對連續的機器指令進行計數的方式進行檢測。在檢測可以代碼時,不需要提取惡意樣本,因此在病毒變種或者面對新的惡意代碼時,不會由于確認惡意樣本而無法識別,本專利技術的檢測方法具有較好的適應性和較快的應變能力,此外,本專利技術實施例提供的檢測方法中,不需要運行樣本,不會由于環境不符或沙箱對抗導致惡意代碼沒有運行時,而造成惡意代碼無法被檢測到,因此,具有較高的檢出率,檢測準確率較高。附圖說明下面對本專利技術實施例中的附圖進行說明,實施例中的附圖是用于對本專利技術的進一步理解,與說明書一起用于解釋本專利技術,并不構成對本專利技術保護范圍的限制。圖1為本專利技術實施例提供的一種數據檢測方法的流程圖;圖2為本專利技術實施例提供的另一種數據檢測方法的流程圖;圖3A和圖3B分別為本專利技術實施例提供的數據檢測裝置的結構示意圖。具體實施方式為了便于本領域技術人員的理解,下面結合附圖對本專利技術作進一步的描述,并不能用來限制本專利技術的保護范圍。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的各種方式可以相互組合。參見圖1,本專利技術提出了一種數據檢測方法,所述方法包括:步驟110,獲取數據中待檢測的機器碼流對應的機器指令;步驟120,判斷連續的合法機器指令的數目是否達到預定的閾值;步驟130,如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。其中,步驟110中,所述獲取機器碼流對應的機器指令包括:根據當前數據地址,對機器碼流進行翻譯,從而得到對應的機器指令。在所述翻譯執行之后,還包括:將當前數據地址跟新為指向下一段未翻譯的機器碼流。參見圖2,本專利技術提出了一種數據檢測方法,所述方法包括:步驟210,根據當前數據地址,對機器碼流進行翻譯。其中,根據預定的合法性規則,對機器碼流進行翻譯,例如,合法性規則可以是基于某CPU平臺的指令集,根據指令集定義的機器碼流與機器指令之間的映射關系,對機器碼流進行翻譯。步驟220,在翻譯不能獲得機器指令的情況下,將指令計數器設置為0;更新當前數據地址,繼續執行步驟210;本專利技術實施例中,指令計數器用于對連續的機器指令進行計數,指令計數器的初始值為0。步驟230,在翻譯得到一條機器指令的情況下,將指令計數器加1;在當前指令計數器為非零的情況下,只有當翻譯得到的機器指令與上一條機器指令是連續的機器指令,才會將指令計數器加1,如果檢測到無法翻譯成機器指令的機器碼流片段,則會將指令計數器設置為0。步驟240,判斷指令計數器的計數數目是否達到預定的閾值;步驟250,如果指令計數器的計數數目達到預定的閾值,則判斷數據中存在可疑代碼;步驟260,如果指令計數器的計數數目沒有達到預定的閾值,判斷該機器指令是否為跳轉指令;在該機器指令不是跳轉指令的情況下,根據更新的當前數據地址,繼續執行步驟210;步驟270,在該機器指令是跳轉指令的情況下,根據跳轉指令的內容更新當前數據地址,繼續執行步本文檔來自技高網...
【技術保護點】
一種數據檢測方法,其特征在于,所述方法包括:獲取待檢測的機器碼流對應的機器指令;判斷連續的合法機器指令的數目是否達到預定的閾值;如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。
【技術特征摘要】
1.一種數據檢測方法,其特征在于,所述方法包括:獲取待檢測的機器碼流對應的機器指令;判斷連續的合法機器指令的數目是否達到預定的閾值;如果連續的合法機器指令的數目達到預定的閾值,則判斷待檢測的機器碼流中存在可疑代碼。2.根據權利要求1所述的數據檢測方法,其特征在于,所述獲取待檢測的機器碼流對應的機器指令包括:根據當前數據地址,對機器碼流進行翻譯,獲取翻譯得到的機器指令;在所述翻譯執行之后,還包括:將當前數據地址跟新為指向下一段未翻譯的機器碼流。3.根據權利要求2所述的數據檢測方法,其特征在于,所述判斷連續的合法機器指令的數目是否達到預定的閾值包括:在翻譯不能獲得合法機器指令的情況下,將指令計數器設置為0,繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟;在翻譯得到一條合法機器指令的情況下,將指令計數器加1;判斷指令計數器的計數數目是否達到預定的閾值;如果沒達到,則判斷待檢測的機器碼流是否已全部翻譯完畢;如果沒有全部翻譯完畢,則繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟。4.根據權利要求2所述的數據檢測方法,其特征在于,在所述獲取待檢測的機器碼流對應的機器指令之后,所述方法還包括:判斷所述機器指令是否為跳轉指令;在所述機器指令不是跳轉指令的情況下,繼續執行所述根據當前數據地址,對機器碼流進行翻譯的步驟;在該機器指令是跳轉指令的情況下,根據跳轉指令的內容更新當前數據地址,繼續執行所述根據當前數據地址,對機器碼進行翻譯的步驟。5.根據權利要求1~4中任一項所述的數據檢測方法,其特征在于,所述預定的閾值設置為50...
【專利技術屬性】
技術研發人員:周宏斌,
申請(專利權)人:北京蘭云科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。