[发明专利]一种内核漏洞检测方法及装置

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种内核漏洞检测方法及装置。

背景技术

内核是操作系统的核心，负责管理系统的进程、内存、设备驱动程序、文件和网路系统等，决定着系统的性能和稳定性。在内核出现内核漏洞时，如果该内核漏洞被非法分子利用，很可能就会出现数据丢失或篡改、用户隐私泄露等问题，从而，容易导致给用户带来经济、精神损失。为了防止内核漏洞被恶意利用，通常需要不定期的检测内核漏洞，以便开发人员及时修复。

目前，传统的内核漏洞检测方法主要是在内核疑似出现内核漏洞后，就会获得对应的疑似漏洞函数，然后，通过对该疑似漏洞函数构造所需的输入参数来触发漏洞代码执行，以便确定内核是否存在内核漏洞。但是，在执行上述内核漏洞检测方法的过程中，发明人发现现有技术中至少存在如下问题：对于疑似漏洞函数的输入参数比较复杂的情况，如某些输入参数里边包含几个、几十个、甚至是几百个子项的时候，很难构造出一个合理的输入参数来触发到疑似漏洞代码执行，此时，就无法检测出该内核漏洞是否存在，使得内核漏洞的检测不够准确。

发明内容

有鉴于此，本发明实施例提供一种内核漏洞检测方法及装置，主要目的在于在检测内核漏洞时无需构造疑似内核漏洞的输入参数，能够有效提高检测内核漏洞的准确度。

为达到上述目的，本发明实施例主要提供如下技术方案：

第一方面，本发明实施例提供一种内核漏洞检测方法，所述方法包括：获得疑似漏洞函数；获取所述疑似漏洞函数当前对应的第一机器码；将所述第一机器码与预先存储的机器码库进行比对，判断所述疑似漏洞函数是否存在缺陷；如果确定所述疑似漏洞函数存在缺陷，确认所述内核存在内核漏洞；否则，确认所述内核不存在内核漏洞。

第二方面，本发明实施例提供一种内核漏洞检测装置，所述装置包括：获得单元、第一获取单元、判断单元以及确认单元，其中，所述获得单元，用于获得疑似漏洞函数；所述第一获取单元，用于获取所述疑似漏洞函数当前对应的第一机器码；所述判断单元，用于将所述第一机器码和预先存储的机器码库进行比对，判断所述疑似漏洞函数是否存在缺陷；所述确认单元，用于如果确定所述疑似漏洞函数存在缺陷，确认所述内核存在内核漏洞；否则，确认所述内核不存在内核漏洞。

第三方面，本发明实施例提供一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述内核漏洞检测方法。

第四方面，本发明实施例提供一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述内核漏洞检测方法。

本发明实施例提供的一种内核漏洞检测方法及装置，在获得疑似漏洞函数后，就可以获取疑似漏洞函数当前对应的第一机器码，然后，将第一机器码和预先存储的机器码库进行比对，来判断疑似漏洞函数是否存在缺陷；最后，如果确定疑似漏洞函数存在缺陷，则可以确认内核存在内核漏洞；如果确定疑似漏洞函数不存在缺陷，则可以确认内核不存在内核漏洞。这样，在内核疑似出现内核漏洞时，由于是通过判断疑似漏洞函数是否存在缺陷的方式，来确认内核漏洞是否存在的，就无需构造疑似内核漏洞的输入参数来触发漏洞代码执行，那么，就不会出现输入参数构造失败或者构造有误导致无法确认内核是否存在内核漏洞的情况，从而，能够有效提高检测内核漏洞的准确度和速度。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例一中的内核漏洞检测方法的流程示意图；

图2示出了本发明实施例二中的内核漏洞检测装置的结构示意图；

图3示出了本发明实施例三中的内核漏洞检测设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

实施例一

本发明实施例提供一种内核漏洞检测方法，该内核漏洞检测方法可以应用于各种需要进行内核漏洞检测的场合，如恶意代码分析、漏洞挖掘、实时监控应用安全漏洞、监控网站后门、拦截恶意请求等。

图1为本发明实施例一中的内核漏洞检测方法的流程示意图，参见图1所示，该内核漏洞检测方法包括：