[发明专利]漏洞检测方法和装置

权利要求书

1.一种漏洞检测方法，其特征在于，包括：

将待检测文件放入与该待检测文件的实际执行环境隔离的独立空间中执行；

收集所述待检测文件在所述独立空间中执行的函数序列；

从所述函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合，所述函数属性指示特定漏洞在具有特定函数、排除特定函数、以及具有按特定顺序的特定函数方面的属性；

如果存在与特定漏洞所关联的全部函数属性相匹配的函数集合，则检测出所述待检测文件中存在漏洞；

在将所述待检测文件放入与该待检测文件的实际执行环境隔离的独立空间中执行的步骤之前，所述方法还包括：

接收特定漏洞的多个样本函数集合；

为所述多个样本集合中的每个样本函数集合，确定所包含的函数及函数的执行顺序；

根据确定的各样本函数集合各自所包含的函数及函数的执行顺序，确定所述多个样本函数集合共同具有的函数、共同排除的函数、以及具有特定执行顺序的函数，作为所述与特定漏洞所关联的全部函数属性。

2.根据权利要求1所述的漏洞检测方法，其特征在于，所述独立空间包括沙箱和/或虚拟机。

3.根据权利要求1所述的漏洞检测方法，其特征在于，所述收集所述待检测文件在所述独立空间中执行的函数序列的步骤包括：

确定所述待检测文件在所述独立空间中执行时顺序执行到的待检测文件中的函数；

将确定的函数按执行顺序串联成函数序列。

4.根据权利要求1所述的漏洞检测方法，其特征在于，所述方法在收集所述待检测文件在所述独立空间中执行的函数序列的步骤之后还包括：在收集的函数序列中进一步确定与特定漏洞相关的函数序列，

所述从所述函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合的步骤进一步包括：从确定的与特定漏洞相关的函数序列中判断是否存在与特定漏洞所关联的全部函数属性相匹配的函数集合。

5.根据权利要求4所述的漏洞检测方法，其特征在于，所述在收集的函数序列中进一步确定与特定漏洞相关的函数序列的步骤包括：

从收集的函数序列中查找第一特定函数，其中所述第一特定函数与特定漏洞所关联的起始函数相同；

如果查找到所述第一特定函数，在收集的函数序列中第一特定函数之后查找第二特定函数，其中所述第二特定函数与特定漏洞所关联的结束函数相同。

6.根据权利要求1所述的漏洞检测方法，其特征在于，所述特定漏洞所关联的全部函数属性包括以下中的至少一项：

特定漏洞必须包含的函数；

特定漏洞必须排除的函数；

特定漏洞可能包含、但如果包含必须在特定函数之前包含的函数；

特定漏洞可能包含、但如果包含必须在特定函数之后包含的函数。

7.根据权利要求1所述的漏洞检测方法，其特征在于，所述方法还包括：如果不存在与特定漏洞所关联的全部函数属性相匹配的函数集合，则检测出所述待检测文件中不存在所述特定漏洞。

8.根据权利要求1所述的漏洞检测方法，其特征在于，所述确定所述多个样本函数集合共同具有的函数、共同排除的函数、以及具有特定执行顺序的函数的步骤包括：

根据确定的各样本函数集合各自所包含的函数，确定所述多个样本函数集合共同具有的函数，作为与特定漏洞所关联的函数属性；

根据确定的各样本函数集合各自所包含的函数，确定所述多个样本函数集合共同排除的函数，作为与特定漏洞所关联的函数属性；

根据确定的各样本函数集合各自所包含的函数的执行顺序，确定所述多个样本函数中一旦包含则一定在特定函数之前包含的函数，作为与特定漏洞所关联的函数属性；

根据确定的各样本函数集合各自所包含的函数的执行顺序，确定所述多个样本函数中一旦包含则一定在特定函数之后包含的函数，作为与特定漏洞所关联的函数属性。

9.根据权利要求1所述的漏洞检测方法，其特征在于，所述待检测文件是软件的全部或部分。