本发明专利技术公开了一种bat漏洞的检测方法以及装置,涉及信息安全领域,主要目的在于快速、精确地检测出bat脚本中的bat漏洞,从而能够保护计算机系统的安全。本发明专利技术的主要技术方案为:构造运行bat脚本的bat虚拟机;将bat脚本在bat虚拟机上运行,记录bat脚本运行过程中的过程行为;将过程行为与预定恶意行为规则库进行匹配,预定恶意行为规则库中包含了已知的恶意行为脚本的判断规则;若匹配成功,则确定bat脚本为bat漏洞。本发明专利技术主要应用于检测bat漏洞的过程中。
【技术实现步骤摘要】
本专利技术涉及一种信息安全领域,特别是涉及一种bat漏洞的检测方法及装置。
技术介绍
随着计算机技术的不断发展,人类社会的信息化程度越来越高,整个社会对计算机信息的依赖程度也越来越高。与此同时,计算机文件中的漏洞也在不断的增长,而bat漏洞成为信息安全领域最严重的威胁之一。bat漏洞存在于批处理文件中,批处理文件也称为脚本,是无格式的文本文件,若批处理文件中存在bat漏洞会威胁计算机系统的安全。为了能够将bat中隐藏的漏洞检测出来,以便进行及时的修复,人们想出各种各样的方案。目前常用的技术方案为:依靠人的经验进行判断,该种判断方法不能快速、精确地检测出bat漏洞,从而危害计算机系统的安全。
技术实现思路
有鉴于此,本专利技术实施例提供一种bat漏洞的检测方法及装置,主要目的在于快速、精确地检测出bat脚本中的bat漏洞,从而能够保护计算机系统的安全。依据本专利技术一个方面,提供了一种bat漏洞的检测方法,包括:构造运行bat脚本的bat虚拟机;将所述bat脚本在所述bat虚拟机上运行,记录所述bat脚本运行过程中的过程行为;将所述过程行为与预定恶意行为规则库进行匹配,所述预定恶意行为规则库中包含了已知的恶意行为脚本的判断规则;若匹配成功,则确定所述bat脚本为bat漏洞。根据本专利技术的另一个方面,提供了一种bat漏洞的检测装置,包括:构造单元,用于构造运行bat脚本的bat虚拟机;操作单元,用于将所述bat脚本在所述构造单元构造的bat虚拟机上运行,记录所述bat脚本运行过程中的过程行为;匹配单元,用于将所述操作单元记录的过程行为与预定恶意行为规则库进行匹配,所述预定恶意行为规则库中包含了已知的恶意行为脚本的判断规则;确定单元,用于当所述匹配单元匹配成功时,确定所述bat脚本为bat漏洞。借由上述技术方案,本专利技术提供的bat漏洞的检测方法以及装置,当对bat漏洞进行检测的时候,先构造能运行bat脚本的bat虚拟机,bat漏洞的检测是基于该bat虚拟机实现的;在将检测的bat脚本在该bat虚拟机上运行,并且记录bat脚本在运行过程中的过程行为,将记录下来的过程行为与预定恶意行为规则库进行匹配,若能够匹配成功,那么该bat脚本为bat漏洞,整个过程按照规则流程自动执行,与现有技术中依靠人的经验进行判断bat脚本中是否存在bat漏洞相比快速、准确。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种bat漏洞的检测方法的流程图;图2示出了本专利技术实施例提供的构建bat虚拟机的方法流程图;图3示出了本专利技术实施例提供的一种操作bat虚拟机的方法流程图;图4示出了本专利技术实施例提供的另一种bat漏洞的检测方法的流程图;图5示出了本专利技术实施例提供的一种bat漏洞的检测装置的组成框图;图6示出了本专利技术实施例提供的另一种bat漏洞的检测装置的组成框图;图7示出了本专利技术实施例提供的另一种bat漏洞的检测装置的组成框图;图8示出了本专利技术实施例提供的另一种bat漏洞的检测装置的组成框图;具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供的一种bat漏洞的检测方法,如图1所示,该方法包括:101、构造运行bat脚本的bat虚拟机。在设置检测方法时,一般不能以正常运行的bat脚本为测试用例,需要根据构建一个与正常运行的bat脚本一样的运行环境,并在此基础上进行训练测试。这样就需要构造运行bat脚本的bat虚拟机。该虚拟机的构造包括bat脚本运行环境的构造以及解析bat脚本模块的构造等。102、将bat脚本在bat虚拟机上运行,记录bat脚本运行过程中的过程行为。检测的bat脚本在bat虚拟机上运行时,记录其运行的整个过程行为,该整个过程行为包括添加或者删除、访问某个文件传输协议(File Transfer Protoco l,FTP)、下载以及标识文件等等,具体的对运行过程中的实际操作不进行限定。103、将过程行为与预定恶意行为规则库进行匹配,预定恶意行为规则库中包含了已知的恶意行为脚本的判断规则。预定恶意行为规则库为已知的预定恶意行为规则库,该预定恶意行为规则库记录了已知的bat脚本的恶意行为,该恶意行为规则库中的内容根据经验设定。将过程行为与预定恶意行为规则库进行匹配,首先根据过程行为依次遍历该预定恶意行为规则库中的规则,若过程行为能匹配该预定恶意行为规则库中的其中一条规则,则执行104,若匹配不成功,则检测的bat脚本为无恶意脚本。104、若匹配成功,则确定bat脚本为bat漏洞。本专利技术实施例中,当对bat漏洞进行检测的时候,先构造能运行bat脚本的bat虚拟机,bat漏洞的检测是基于该bat虚拟机实现的;在将检测的bat脚本在该bat虚拟机上运行,并且记录bat脚本在运行过程中的过程行为,将记录下来的过程行为与预定恶意行为规则库进行匹配,若能够匹配成功,那么该bat脚本为bat漏洞,整个过程按照规则流程自动执行,与现有技术中依靠人的经验进行判断bat脚本中是否存在bat漏洞相比快速、准确。基于上述方法,bat虚拟机的构造包括bat脚本运行环境的构造以及解析bat脚本模块的构造等。在构造bat脚本虚拟机时可以通过但不局限于以下的方法实现,如图2所示,构造bat脚本虚拟机的方法包括:201、构造bat脚本解析器,bat脚本解析器用于对检测的bat脚本进行解析,获取bat脚本的执行序列。由于bat脚本的构成没有固定的格式,每一行可视为一条命令。因此在对检测的bat脚本进行分析时,可以通过bat脚本解析器对检测的ba本文档来自技高网...
【技术保护点】
一种bat漏洞的检测方法,其特征在于,包括:构造运行bat脚本的bat虚拟机;将所述bat脚本在所述bat虚拟机上运行,记录所述bat脚本运行过程中的过程行为;将所述过程行为与预定恶意行为规则库进行匹配,所述预定恶意行为规则库中包含了已知的恶意行为脚本的判断规则;若匹配成功,则确定所述bat脚本为bat漏洞。
【技术特征摘要】
1.一种bat漏洞的检测方法,其特征在于,包括:
构造运行bat脚本的bat虚拟机;
将所述bat脚本在所述bat虚拟机上运行,记录所述bat脚本运行过
程中的过程行为;
将所述过程行为与预定恶意行为规则库进行匹配,所述预定恶意行为
规则库中包含了已知的恶意行为脚本的判断规则;
若匹配成功,则确定所述bat脚本为bat漏洞。
2.根据权利要求1所述的方法,其特征在于,所述构造运行bat脚本
的bat虚拟机,包括:
构造bat脚本解析器,所述bat脚本解析器用于对检测的bat脚本进
行解析,获取bat脚本的执行序列;
建立所述执行序列执行的环境模拟,所述环境模拟至少包括:文件系
统、注册表系统、进程系统以及网络。
3.根据权利要求1所述的方法,其特征在于,将所述bat脚本在所述
bat虚拟机上运行,记录所述bat脚本运行过程中的过程行为,包括:
依次运行所述bat脚本的执行序列;
记录所述执行序列在运行过程中的过程行为。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述将所述
过程行为与预定恶意行为规则库进行匹配,包括:
获取所述预定恶意行为规则库中的规则;
利用所述规则对所述过程行为进行分析;
若得到分析结果,则确定检测的bat脚本为bat漏洞。
5.一种bat漏洞的检测装置,其特征在于,包括:
构造单元,用...
【专利技术属性】
技术研发人员:唐海,陈卓,邢超,杨康,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。