一种数据检测方法和装置制造方法及图纸

本发明专利技术公开一种数据检测方法和装置，该方法包括：获取待检测的机器码流对应的机器指令；判断连续的合法机器指令的数目是否达到预定的阈值；如果连续的合法机器指令的数目达到预定的阈值，则判断待检测的机器码流中存在可疑代码。本发明专利技术的方案中，通过对连续的机器指令进行计数的方式进行检测，不需要提取恶意样本，因此在病毒变种或者面对新的恶意代码时，不会由于确认恶意样本而无法识别，具有较好的适应性和较快的应变能力，此外，不需要运行样本，具有较高的检出率，检测准确率较高。

【技术实现步骤摘要】

本专利技术涉及数据检测
，尤指一种数据检测方法和装置。
技术介绍
目前，主要通过两种方式对数据中的恶意代码进行检测，一种是基于传统特征进行检测，例如杀毒软件通常采用这种方式，一个是基于行为进行检测，例如沙箱通常采用这种方式。基于传统特征进行检测的方式中，都是先由安全厂商的安全分析人员在已捕获恶意样本的前提下，对样本进行特征提取，并通过提取的特征对恶意代码进行检测。传统特征方式，检测准确，效率高，但由于其特征一般都是无意义的二进制数据(比如文件的MD5值)，提取的内容通常只用于确定恶意样本，没有额外的功能，在遇到病毒变种，或新的恶意代码时，它通常无能为力，需要通过安全分析人员重新根据捕获的恶意样本进行特征提取。基于行为进行检测的方式中，通常是让样本在虚拟环境中运行起来，通过分析样本的行为来确定样本中是否存在恶意代码。这种方式的一个重要弊端是，只有恶意代码运行起来，才能被检测到，如果因为环境不符，沙箱对抗等原因，导致恶意代码没有运行，则恶意代码无法被检测到，因此这种方式的检测准确率较低。
技术实现思路
为了解决上述问题，本专利技术提出了一种数据检测方法和装置，能够提高恶意代码的检测效本文档来自技高网...

【技术保护点】
一种数据检测方法，其特征在于，所述方法包括：获取待检测的机器码流对应的机器指令；判断连续的合法机器指令的数目是否达到预定的阈值；如果连续的合法机器指令的数目达到预定的阈值，则判断待检测的机器码流中存在可疑代码。

【技术特征摘要】
1.一种数据检测方法，其特征在于，所述方法包括：获取待检测的机器码流对应的机器指令；判断连续的合法机器指令的数目是否达到预定的阈值；如果连续的合法机器指令的数目达到预定的阈值，则判断待检测的机器码流中存在可疑代码。2.根据权利要求1所述的数据检测方法，其特征在于，所述获取待检测的机器码流对应的机器指令包括:根据当前数据地址，对机器码流进行翻译，获取翻译得到的机器指令；在所述翻译执行之后，还包括：将当前数据地址跟新为指向下一段未翻译的机器码流。3.根据权利要求2所述的数据检测方法，其特征在于，所述判断连续的合法机器指令的数目是否达到预定的阈值包括：在翻译不能获得合法机器指令的情况下，将指令计数器设置为0，继续执行所述根据当前数据地址，对机器码流进行翻译的步骤；在翻译得到一条合法机器指令的情况下，将指令计数器加1；判断指令计数器的计数数目是否达到预定的阈值；如果没达到，则判断待检测的机器码流是否已全部翻译完毕；如果没有全部翻译完毕，则继续执行所述根据当前数据地址，对机器码流进行翻译的步骤。4.根据权利要求2所述的数据检测方法，其特征在于，在所述获取待检测的机器码流对应的机器指令之后，所述方法还包括：判断所述机器指令是否为跳转指令；在所述机器指令不是跳转指令的情况下，继续执行所述根据当前数据地址，对机器码流进行翻译的步骤；在该机器指令是跳转指令的情况下，根据跳转指令的内容更新当前数据地址，继续执行所述根据当前数据地址，对机器码进行翻译的步骤。5.根据权利要求1～4中任一项所述的数据检测方法，其特征在于，所述预定的阈值设置为50...

【专利技术属性】
技术研发人员：周宏斌，
申请(专利权)人：北京兰云科技有限公司，
类型：发明
国别省市：北京;11