一种针对高级可持续威胁的溢出漏洞检测方法及系统的制作方法
【专利摘要】本发明公开了一种针对高级可持续威胁的溢出漏洞检测方法及系统,首先,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;捕获网络中的可疑文档类型样本,投入虚拟机;依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;在各分支版本环境下加载并打开所述可疑文档类型样本;监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,并进一步判断所述分支版本是否是最新版本,从而判断是否存在高级可持续威胁可以利用的0day漏洞。并且,可以有效的检测出待检测软件已知漏洞,可以发现待检测软件是否存在0day漏洞。
【专利说明】一种针对高级可持续威胁的溢出漏洞检测方法及系统
【技术领域】
[0001]本发明涉及计算机网络安全【技术领域】,尤其涉及一种针对高级可持续威胁的溢出漏洞检测方法及系统。
【背景技术】
[0002]高级可持续威胁(APT)是指攻击者对目标展开长期、复杂的攻击。其攻击是有针对性的,并进行了长期准备而发起的。其主要特点为:攻击者具备更专业的技术能力,能够充分利用目标的漏洞,还包括利用未知漏洞的能力;APT通常持续时间较长,攻击者可能利用方方面面的机会向目标展开攻击,可能长期收集安全漏洞,最终达到自己的目的。
[0003]面对复杂的互联网安全形势和日益增长的高级可持续威胁(APT),采用文档格式溢出漏洞做为渗透进入的手段也越来越普遍。如何发现高级可持续威胁采用的入侵漏洞,以及如何发现最新的Oday漏洞是检测APT需要亟待解决的问题。
[0004]传统的已知漏洞威胁主要是利用对已知漏洞的格式解析来获得,这种方法对已知漏洞的识别并不全面,并且无法有效检测高级可持续威胁可以利用的Oday漏洞。
【发明内容】
[0005]针对上述技术问题,本发明提供了一种针对高级可持续威胁的溢出漏洞检测方法及系统,该发明通过建立从历史到最新的软件的各分支版本,并监控各分支版本是否存在溢出行为,从而更加高效的判断待检测软件是否具有Oday漏洞。
[0006]本发明采用如下方法来实现:一种针对高级可持续威胁的溢出漏洞检测方法,包括:
选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
捕获网络中的可疑文档类型样本,投入虚拟机;
依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;以各重要版本为基础,依据各补丁文件与各分支版本的对应关系,构造各分支版本环境;
在各分支版本环境下加载并打开所述可疑文档类型样本;
监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
[0007]进一步地,所述补丁文件为CVE漏洞补丁文件。
[0008]进一步地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
[0009]一种针对高级可持续威胁的溢出漏洞检测系统,包括:
预检测模块,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本; 样本捕获模块,捕获网络中的可疑文档类型样本,投入虚拟机;
分支版本构造模块,依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;
执行模块,在各分支版本环境下加载并打开所述可疑文档类型样本;
判定模块,监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
[0010]进一步地,所述补丁文件为CVE漏洞补丁文件。
[0011 ] 进一步地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
[0012]综上所述,本发明提供了一种针对高级可持续威胁的溢出漏洞检测方法及系统,首先,利用待检测软件的现有的补丁文件和对应分支版本的关系,建立各分支版本环境,打开在网络捕获的可疑文档类型样本,监控在各分支版本环境下的API动作情况,从而确定是否发生溢出行为,是否存在Oday漏洞,最终实现比现有技术更高效的检测已知漏洞和未知漏洞的目标。
【专利附图】
【附图说明】
[0013]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014]图1为本发明提供的一种针对高级可持续威胁的溢出漏洞检测方法流程图;
图2为本发明提供的一种针对高级可持续威胁的溢出漏洞检测系统结构图。
【具体实施方式】
[0015]本发明给出了一种针对高级可持续威胁的溢出漏洞检测方法及系统,为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种针对高级可持续威胁的溢出漏洞检测方法,如图1所示,包括:SlOl选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
S102捕获网络中的可疑文档类型样本,投入虚拟机;
S103依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境; S104在各分支版本环境下加载并打开所述可疑文档类型样本;
S105监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则执行S106 ;
S106记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
[0016]优选地,所述补丁文件为CVE漏洞补丁文件。[0017]优选地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为
本发明其次提供了一种针对高级可持续威胁的溢出漏洞检测系统,如图2所示,包括:预检测模块201,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本;
样本捕获模块202,捕获网络中的可疑文档类型样本,投入虚拟机;
分支版本构造模块203,依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境;
执行模块204,在各分支版本环境下加载并打开所述可疑文档类型样本;
判定模块205,监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
[0018]优选地,所述补丁文件为CVE漏洞补丁文件。
[0019]优选地,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
[0020]如上所述,本发明给出了一种针对高级可持续威胁的溢出漏洞检测方法及系统,其与传统方法的区别在于,对于传统方法来说,利用已知漏洞的格式解析来检测已知漏洞,但是其方法不能全面检测已知漏洞,对于未知漏洞束手无策,本发明是利用对历史至最新版本的软件进行动态检测,判断其是否发生溢出行为,并通过查看发生溢出行为的软件版本是否最新,来判断所述漏洞是否是Oday漏洞。
[0021]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种针对高级可持续威胁的溢出漏洞检测方法,其特征在于,包括: 选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本; 捕获网络中的可疑文档类型样本,投入虚拟机; 依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境; 在各分支版本环境下加载并打开所述可疑文档类型样本; 监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
2.如权利要求1所述的方法,其特征在于,所述补丁文件为CVE漏洞补丁文件。
3.如权利要求1所述的方法,其特征在于,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
4.一种针对高级可持续威胁的溢出漏洞检测系统,其特征在于,包括: 预检测模块,选择待检测软件的基础版本,并记录具有补丁文件的分支版本信息;所述基础版本为待检测软件的一个或多个重要版本; 样本捕获模块,捕获网络中的可疑文档类型样本,投入虚拟机; 分支版本构造模块,依据各补丁文件与各分支版本的对应关系,在虚拟机中构造各分支版本环境; 执行模块,在各分支版本环境下加载并打开所述可疑文档类型样本; 判定模块,监控所述可疑文档类型样本的API调用情况,判断是否存在溢出行为,若不存在则结束,否则记录所述分支版本信息,并判断所述分支版本是否是最新版本,若是,则待检测软件存在Oday漏洞,否则待检测软件不存在Oday漏洞,但所述可疑文档类型样本中存在利用已知漏洞进行攻击的威胁。
5.如权利要求4所述的系统,其特征在于,所述补丁文件为CVE漏洞补丁文件。
6.如权利要求4所述的系 统,其特征在于,所述溢出行为包括:创建可疑进程,创建PE文件或者远程注入行为。
【文档编号】G06F21/57GK103902914SQ201310423156
【公开日】2014年7月2日 申请日期:2013年9月17日 优先权日:2013年9月17日
【发明者】康学斌, 肖新光 申请人:北京安天电子设备有限公司