[发明专利]一种计算机软件漏洞利用的捕获方法及系统

权利要求书

1.一种计算机软件漏洞利用的捕获方法，其步骤包括：

1)在硬件虚拟机内启动待监视进程；

2)获得所述进程的执行序列，并实时提取和记录所述执行序列的特征；

3)判定是否存在软件漏洞利用攻击或潜在的软件漏洞利用攻击，若存在，将该漏洞利用攻击触发时记录的所述执行序列的特征作为签名存储到数据库中；

4)将所述签名和所述数据库中已有的签名进行比对，判断所述软件漏洞利用攻击是否为新捕获的软件漏洞利用攻击。

2.如权利要求1所述的方法，其特征在于，所述执行序列是指虚拟机内部受监视进程中的一个线程执行的指令序列；所述执行序列的特征是一个所述执行序列的子序列，由符合下述条件的指令组成：在所述执行序列中，这条指令与其下一条指令的EIP值之差≥16。

3.如权利要求1所述的方法，其特征在于，步骤3)所述判定的规则是：如果受监视进程执行了当时装载的可执行模块之外的代码，则认为是攻击成功并存在一软件漏洞利用攻击；如果受监视进程触发了系统的崩溃代码，则认为是攻击成功并存在一潜在的软件漏洞利用攻击。

4.如权利要求1所述的方法，其特征在于，所述方法使用所述硬件虚拟机提供的编程接口，包括执行指令的处理器上下文信息，以及解析后的进程ID和线程ID。

5.一种采用如权利要求1所述方法的软件漏洞利用的捕获系统，包括至少一台连接互联网的宿主计算机和一数据库系统；

所述宿主计算机内安装：

至少一个硬件虚拟机，所述硬件虚拟机内运行待监视进程，

控制器，用于控制捕获软件漏洞利用的程序，

记录器，用于获得所述待监视进程的执行序列，并实时提取和记录所述执行序列的特征，以及

分析器，用于判定是否存在软件漏洞利用攻击；

所述数据库系统用于保存生成的签名文件。

6.如权利要求5所述的系统，其特征在于，所述硬件虚拟机上运行Windows操作系统。

7.如权利要求5所述的系统，其特征在于，所述系统根据一预设时间间隔，定时重启和回滚所述硬件虚拟机。

8.如权利要求7所述的系统，其特征在于，所述时间间隔为30分钟。

9.如权利要求5所述的系统，其特征在于，所述系统在捕获到漏洞利用之后回滚所述硬件虚拟机。

10.如权利要求5所述的系统，其特征在于，所述数据库系统安装于所述宿主计算机内或所述宿主计算机外。