[发明专利]检测漏洞利用的方法、装置、存储介质及设备

权利要求书

1.一种检测漏洞利用的方法，其特征在于，所述方法包括：

获取软件在内存中运行时产生的运行数据；

根据所述运行数据确定所述软件的行为链，所述行为链是所述软件在内存中运行时按照时间顺序产生的行为的集合；

当所述运行数据包括所述软件的栈内调用函数的输入输出数据，且所述行为链中的行为是由所述软件调用一个调用函数进行数据输入输出产生时，检测所述调用函数的输入输出数据是否是漏洞行为特征数据，所述漏洞行为特征数据是软件中的漏洞被利用时产生的行为特征数据，其中，当所述调用函数的输入输出数据是预设数据时，通过回溯算法确定调用所述调用函数的软件，并获取所述预设数据对应的软件白名单，所述软件白名单用于记录漏洞未被利用时调用所述调用函数进行所述预设数据的输入或输出的软件，所述预设数据是既能够在漏洞被利用时调用所述调用函数进行输入或输出的数据，也能够在漏洞未被利用时调用所述调用函数进行输入或输出的数据；

检测所述软件是否位于所述软件白名单中；

当所述软件不在所述软件白名单中时，确定所述调用函数的输入输出数据是所述漏洞行为特征数据，并确定所述行为链中存在超出预期的行为；

当所述行为链中存在超出预期的行为时，确定所述软件中存在漏洞且所述漏洞被利用。

2.根据权利要求1所述的方法，其特征在于，所述输入输出数据是预设指令被触发时获取的，所述预设指令是所述软件中的漏洞被利用时所执行的指令。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述运行数据包括所述软件读写的数据时，确定所述行为链中存在读写数据的行为；

检测所述软件是否具有读写数据的权限；

当所述软件不具有读写数据的权限时，确定所述行为链中存在超出预期的行为。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述运行数据包括所述软件调用的参数时，确定所述行为链中存在调用参数的行为；

获取所述软件的参数白名单，所述参数白名单用于记录所述软件在漏洞未被利用时所调用的参数；

检测所述调用参数的行为中所调用的参数是否位于所述参数白名单中；

当所述调用参数的行为中所调用的参数不在所述参数白名单中时，确定所述行为链中存在超出预期的行为。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述运行数据包括栈或代码段中的指令执行序列，且所述行为链中的行为是由所述软件执行指令执行序列中的一条指令产生时，检测所述指令执行序列中是否存在排序关系异常的指令；

当所述指令执行序列中存在排序关系异常的指令时，确定所述行为链中存在超出预期的行为。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述运行数据包括非代码段中被执行的指令时，检测所述行为链中是否存在执行所述非代码段中的指令所产生的行为，所述非代码段用于存储除指令之外的数据；

当所述行为链中存在执行所述非代码段中的指令所产生的行为时，确定所述行为链中存在超出预期的行为。

7.根据权利要求6所述的方法，其特征在于，

在所述获取软件在内存中运行时产生的运行数据之前，所述方法还包括：对所述软件开启数据执行保护DEP，所述DEP用于识别所述软件执行非代码段中的指令的行为；

所述检测所述行为链中是否存在执行所述非代码段中的指令所产生的行为，包括：通过所述DEP检测所述行为链中是否存在执行所述非代码段中的指令所产生的行为；当所述行为链中存在执行所述非代码段中的指令所产生的行为时，确定所述行为链中存在超出预期的行为。

8.根据权利要求1至7任一所述的方法，其特征在于，在所述确定所述软件中存在漏洞且所述漏洞被利用之后，所述方法还包括：

禁止所述软件执行所述超出预期的行为；和/或，

关闭所述软件。