本发明专利技术实施例提供一种内核漏洞检测方法及装置,所述方法包括:获得疑似漏洞函数;获取所述疑似漏洞函数当前对应的第一机器码;将所述第一机器码与预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷;如果确定所述疑似漏洞函数存在缺陷,确认所述内核存在内核漏洞;否则,确认所述内核不存在内核漏洞。如此,通过判断疑似漏洞函数是否存在缺陷的方式来确定内核是否存在内核漏洞,无需构造疑似内核漏洞的输入参数,能够同时提高检测内核漏洞的速度和准确度。
【技术实现步骤摘要】
一种内核漏洞检测方法及装置
本专利技术涉及计算机安全领域,尤其涉及一种内核漏洞检测方法及装置。
技术介绍
内核是操作系统的核心,负责管理系统的进程、内存、设备驱动程序、文件和网路系统等,决定着系统的性能和稳定性。在内核出现内核漏洞时,如果该内核漏洞被非法分子利用,很可能就会出现数据丢失或篡改、用户隐私泄露等问题,从而,容易导致给用户带来经济、精神损失。为了防止内核漏洞被恶意利用,通常需要不定期的检测内核漏洞,以便开发人员及时修复。目前,传统的内核漏洞检测方法主要是在内核疑似出现内核漏洞后,就会获得对应的疑似漏洞函数,然后,通过对该疑似漏洞函数构造所需的输入参数来触发漏洞代码执行,以便确定内核是否存在内核漏洞。但是,在执行上述内核漏洞检测方法的过程中,专利技术人发现现有技术中至少存在如下问题:对于疑似漏洞函数的输入参数比较复杂的情况,如某些输入参数里边包含几个、几十个、甚至是几百个子项的时候,很难构造出一个合理的输入参数来触发到疑似漏洞代码执行,此时,就无法检测出该内核漏洞是否存在,使得内核漏洞的检测不够准确。
技术实现思路
有鉴于此,本专利技术实施例提供一种内核漏洞检测方法及装置,主要目的在于在检测内核漏洞时无需构造疑似内核漏洞的输入参数,能够有效提高检测内核漏洞的准确度。为达到上述目的,本专利技术实施例主要提供如下技术方案:第一方面,本专利技术实施例提供一种内核漏洞检测方法,所述方法包括:获得疑似漏洞函数;获取所述疑似漏洞函数当前对应的第一机器码;将所述第一机器码与预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷;如果确定所述疑似漏洞函数存在缺陷,确认所述内核存在内核漏洞;否则,确认所述内核不存在内核漏洞。第二方面,本专利技术实施例提供一种内核漏洞检测装置,所述装置包括:获得单元、第一获取单元、判断单元以及确认单元,其中,所述获得单元,用于获得疑似漏洞函数;所述第一获取单元,用于获取所述疑似漏洞函数当前对应的第一机器码;所述判断单元,用于将所述第一机器码和预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷;所述确认单元,用于如果确定所述疑似漏洞函数存在缺陷,确认所述内核存在内核漏洞;否则,确认所述内核不存在内核漏洞。第三方面,本专利技术实施例提供一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述内核漏洞检测方法。第四方面,本专利技术实施例提供一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述内核漏洞检测方法。本专利技术实施例提供的一种内核漏洞检测方法及装置,在获得疑似漏洞函数后,就可以获取疑似漏洞函数当前对应的第一机器码,然后,将第一机器码和预先存储的机器码库进行比对,来判断疑似漏洞函数是否存在缺陷;最后,如果确定疑似漏洞函数存在缺陷,则可以确认内核存在内核漏洞;如果确定疑似漏洞函数不存在缺陷,则可以确认内核不存在内核漏洞。这样,在内核疑似出现内核漏洞时,由于是通过判断疑似漏洞函数是否存在缺陷的方式,来确认内核漏洞是否存在的,就无需构造疑似内核漏洞的输入参数来触发漏洞代码执行,那么,就不会出现输入参数构造失败或者构造有误导致无法确认内核是否存在内核漏洞的情况,从而,能够有效提高检测内核漏洞的准确度和速度。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例一中的内核漏洞检测方法的流程示意图;图2示出了本专利技术实施例二中的内核漏洞检测装置的结构示意图;图3示出了本专利技术实施例三中的内核漏洞检测设备的结构示意图。具体实施方式下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本专利技术,并且能够将本专利技术的范围完整的传达给本领域的技术人员。实施例一本专利技术实施例提供一种内核漏洞检测方法,该内核漏洞检测方法可以应用于各种需要进行内核漏洞检测的场合,如恶意代码分析、漏洞挖掘、实时监控应用安全漏洞、监控网站后门、拦截恶意请求等。图1为本专利技术实施例一中的内核漏洞检测方法的流程示意图,参见图1所示,该内核漏洞检测方法包括:S101:获得疑似漏洞函数;具体地,在内核疑似出现内核漏洞时,表明内核可能存在内核漏洞,也可能不存在内核漏洞,此时,就可以获得对应的疑似漏洞函数。也就是说,该疑似漏洞函数可能会触发内核漏洞,也可能不会触发内核漏洞。当该疑似漏洞函数能够触发内核漏洞时,该疑似漏洞函数就是该内核漏洞所对应的真正的漏洞函数。在本专利技术其它实施例中,为了获得疑似漏洞函数,S101可以包括:在内核疑似出现内核漏洞时,获得告警数据;将告警数据中携带的问题函数确定为疑似漏洞函数。在实际应用中,由于不可控制的输入变量进入到内核执行流程中的某个疑似漏洞函数,如危险函数、自定义函数等时,可能会触发内核疑似出现内核漏洞,此时,就会生成对应的告警数据,内核会通过该告警数据来指示内核处于非正常状态,内核疑似出现了内核漏洞。此时,内核为错误运行状态,该告警数据所警示的内核漏洞可能是真实存在的,也可能是不存在,需要进一步去检测。这样,在内核疑似出现内核漏洞时获得了告警数据以后,为了判断内核是否存在内核漏洞,就可以将告警数据中携带的问题函数确定为疑似漏洞函数,从而,就获得了疑似漏洞函数。在实际应用中,为了便于自动确认内核漏洞的真实性、或者便于用户、开发人员等修复漏洞等,告警数据可以包括:告警时间、告警级别、问题函数、问题类型、问题参数、状态位、SERVER数据以及告警分析处理建议等信息。当然,还可以通过其它方式,基于告警数据来获取对应的疑似漏洞函数,如根据告警数据中所指示的问题参数,查找调用该问题参数的问题函数,然后,将该问题函数确定为所需的疑似漏洞函数。这里,本专利技术实施例不作具体限定。在本专利技术另一实施例中,在S101之前,上述内核漏洞检测方法还可以包括:获取内核非疑似出现内核漏洞时所对应的二进制文件;将内核所对应的二进制文件中的所有二进制代码确定为预先存储的机器码库。在实际应用中,为了获得预先存储的机器码库,可以获取内核正常运行,即内核非疑似出现内核漏洞,也就是内核未出现内核漏洞时,该内核所对应的二进制文件,然后,由于该二进制文件存储有内核中所有函数的正常运行时的二进制代码,因此,可以将内核所对应的二进制文件中的所有二进制代码确定为预先存储的机器码库。从而,通过该预先存储的机器码库,就能够在内核疑似出现内核漏洞时,来判断疑似漏洞函数是否有缺陷,以便进一步确定内核是否存在内核漏洞。在实际应用中,获取内核未出现内核漏洞时所对应的二进制文件的时机,即生成预先存储的机器码库的时机,可以是在第一次编译内核源代码,获得内核所对应的二进制文件,也可以是在每一次更新内核源代码,重新编译内核源代码,获得内核所对应的二进制文件后,当然,还可以在其它内核正常运行的时候,这里,本专利技术实施例不做具体限定。S102:获取疑似漏洞函数当前对应的第一机器码;这里,第一机器码是指在内核疑似出现内核漏洞本文档来自技高网...
【技术保护点】
一种内核漏洞检测方法,其特征在于,所述方法包括:获得疑似漏洞函数;获取所述疑似漏洞函数当前对应的第一机器码;将所述第一机器码与预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷;如果确定所述疑似漏洞函数存在缺陷,确认所述内核存在内核漏洞;否则,确认所述内核不存在内核漏洞。
【技术特征摘要】
1.一种内核漏洞检测方法,其特征在于,所述方法包括:获得疑似漏洞函数;获取所述疑似漏洞函数当前对应的第一机器码;将所述第一机器码与预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷;如果确定所述疑似漏洞函数存在缺陷,确认所述内核存在内核漏洞;否则,确认所述内核不存在内核漏洞。2.根据权利要求1所述的方法,其特征在于,所述将所述第一机器码与预先存储的机器码库进行比对,判断所述疑似漏洞函数是否存在缺陷,包括:从所述预先存储的机器码库中,获取所述疑似漏洞函数对应的第二机器码;判断所述第一机器码与所述第二机器码是否相同;如果所述第一机器码与所述第二机器码相同,确定所述疑似漏洞函数不存在缺陷;否则,确定所述疑似漏洞函数存在缺陷。3.根据权利要求2所述的方法,其特征在于,所述判断所述第一机器码与所述第二机器码是否相同,包括:对所述第一机器码进行特征分析,获得所述第一机器码的二进制特征;对所述第二机器码进行特征分析,获得所述第二机器码的二进制特征;如果所述第一机器码的二进制特征与所述第二机器码的二进制特征相同,确定所述第一机器码与所述第二机器码是相同的;否则,确定所述第一机器码与所述第二机器码是不相同的。4.根据权利要求1至3任一项所述的方法,其特征在于,所述获取所述疑似漏洞函数当前对应的第一机器码,包括:基于所述疑似漏洞函数的函数名,获取所述疑似漏洞函数对应的函数地址以及函数大小;基于所述函数地址和所述函数大小,从所述疑似漏洞函数当前所在的二进制文件中,获取所述第一机器码。5.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:刘天,张建新,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。