本发明专利技术公开一种堆喷射检测方法及装置,涉及信息与网络安全领域,该方法包括:采集待检测对象的基础信息;根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算;如果相邻待检测堆的异或计算结果为0的比例达到第二设定阈值,则判断所述待检测对象为堆喷射。本发明专利技术提供的方法及装置,利用堆块对齐方式的特性,对多个堆块进行异或处理,在尽量保持原有堆熵信息的基础上,能够快速检测判断是否出现堆喷射,消耗资源少,错报漏报率低,通用性好。
【技术实现步骤摘要】
堆喷射检测方法及装置
本专利技术涉及信息与网络安全领域,尤其涉及一种堆喷射检测方法及装置。
技术介绍
堆喷射(HeapSpray)是一种较易获得任意代码执行Exploit的技术手段,其是最常见的安全威胁之一,不同的客户端发生堆喷射的脚本不尽相同,针对浏览器有VBScript、JavaScript,针对其他客户端Office、PDF阅读器可能使用VBA、Flash等。现有技术中有一种检测堆喷射型网页木马的方法,该方法首先解析待检测网页的脚本,在解析过程中通过挂函数钩子监测所述待检测网页的脚本变量,如果监测到所述待检测网页的脚本变量的长度超过预设的长度阈值,则对所述长度超过预设长度阈值的脚本变量的内容进行反汇编检测,如果不能顺利反汇编,则继续解析所述待检测网页的脚本,如果能够顺利反汇编,则认为检测到喷射特性,确定检测到堆喷射型网页木马。但是,该方法的脚本解析模块只适用于网页木马的检测,通用性差;需要用到反汇编技术,检测代价高,且由于代码入口点无法确认的问题,难以保证反汇编结果。现有技术还提供一种基于内存对比的检测方法检测堆喷射,但是这种检测方法速度慢、效率低、消耗资源多、代价大,在实际应用和推广上存在很大的局限性。因此,有必要提出一种快速高效的堆喷射通用检测方法对以解决现有技术中存在的上述问题。
技术实现思路
本专利技术要解决的一个技术问题是快速、高效、消耗资源少的堆喷射通用检测方法。本专利技术提供一种堆喷射检测方法,包括:采集待检测对象的基础信息;根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算;如果相邻待检测堆的异或计算结果为0的比例达到第二设定阈值,则判断所述待检测对象为堆喷射。进一步地,所述待检测对象的基础信息包括堆起始地址、堆长度、堆数量。进一步地,所述根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算包括:根据待检测对象的基础信息,分配与所述待检测对象中的待检测堆同样大小的内存空间;将待检测对象的第n个待检测堆复制到所述内存空间;对待检测对象中的第n+1个待检测堆进行随机采样;判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性。进一步地,判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性之后包括:如果第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性超过第一设定阈值,将待检测对象的第n+1个待检测堆与内存空间中的第n个待检测堆进行异或计算。进一步地,判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性之后还包括:如果待检测对象的第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性不超过第一设定阈值;则判定第n+1个待检测堆与第n个待检测堆不一致,执行循环过程,判断所述待检测对象中剩余的相邻待检测堆的一致性。进一步地,通过随机采样依次判断待检测对象中的所有相邻待检测堆的一致性,在相邻待检测堆一致性超过第一设定阈值时进行异或计算,遍历完所述待检测对象中的所有待检测堆之后,判断异或结果为0的比例达到第二设定阈值,如果异或结果为0的比例达到第二设定阈值,则判定发现堆喷射。进一步地,如果相邻待检测堆的异或结果为0的比例未达到第二设定阈值,则判断所述待检测对象不是堆喷射。进一步地,所述第一设定阈值为80%到95%,所述第二设定阈值为85%到95%。本专利技术还提供一种堆喷射检测装置,包括:采集模块,用于采集待检测对象的基础信息;第一处理模块,用于根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算;第二处理模块,用于如果相邻待检测堆的异或计算结果为0的比例达到第二设定阈值,则判断所述待检测对象为堆喷射。进一步地,所述待检测对象的基础信息包括堆起始地址、堆长度、堆数量。进一步地,该装置还包括内存分配模块,用于根据待检测对象的基础信息,分配与所述待检测对象中的待检测堆同样大小的内存空间;复制模块,用于将待检测对象的第n个待检测堆复制到所述内存空间;随机采样模块,用于对待检测对象中的第n+1个待检测堆进行随机采样。进一步地,所述第一处理模块用于判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性。进一步地,所述第一处理模块如果第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性超过第一设定阈值,将待检测对象的第n+1个待检测堆与内存空间中的第n个待检测堆进行异或计算。进一步地,所述第一处理模块用于如果待检测对象的第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性不超过第一设定阈值;则判定第n+1个待检测堆与第n个待检测堆不一致,执行循环过程,判断所述待检测对象中剩余的相邻待检测堆的一致性。进一步地,所述第一处理模块用于通过随机采样依次判断待检测对象中的所有相邻待检测堆的一致性,在相邻待检测堆一致性超过第一设定阈值时进行异或计算,遍历完所述待检测对象中的所有待检测堆之后,所述第二处理模块用于判断异或结果为0的比例达到第二设定阈值,如果异或结果为0的比例达到第二设定阈值,则判定发现堆喷射。进一步地,所述第二处理模块用于如果相邻待检测堆的异或结果为0的比例未达到第二设定阈值,则判断所述待检测对象不是堆喷射。进一步地,所述第一设定阈值为80%到95%,所述第二设定阈值为85%到95%。本专利技术提供的堆喷射检测方法及装置,在对HeapSpray的特性进行研究和总结后,提出一种快速通用的检测方法,利用堆块对齐方式的特性,对多个堆块进行异或处理,在尽量保持原有堆熵信息的基础上,能够快速检测判断是否出现HeapSpray,消耗资源少,错报漏报率低,通用性好。附图说明图1示出本专利技术一个实施例的堆喷射检测方法的流程图。图2示出本专利技术一个实施例的堆喷射的示意图。图3示出本专利技术一个实施例的堆喷射检测方法的流程示意图。图4示出本专利技术一个实施例的堆喷射检测方法的流程示意简图。图5示出本专利技术一个实施例的一种堆喷射检测装置的结构框图。图6示出了本专利技术的另一个实施例的一种堆喷射检测装置的结构框图。具体实施方式下面参照附图对本专利技术进行更全面的描述,其中说明本专利技术的示例性实施例。图1示出本专利技术一个实施例的堆喷射检测方法的流程图。如图1所示,该方法主要包括:步骤100,采集待检测对象的基础信息。在一个实施例中,所述待检测对象的基础信息包括堆起始地址、堆长度、堆数量。步骤102,根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算。在一个实施例中,该步骤可以包括:根据待检测对象的基础信息,分配与所述待检测对象中的待检测堆同样大小的内存空间;将待检测对象的第n个待检测堆复制到所述内存空间;对待检测对象中的第n+1个待检测堆进行随机采样;判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性本文档来自技高网...
【技术保护点】
一种堆喷射检测方法,其特征在于,包括:采集待检测对象的基础信息;根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算;如果相邻待检测堆的异或计算结果为0的比例达到第二设定阈值,则判断所述待检测对象为堆喷射。
【技术特征摘要】
1.一种堆喷射检测方法,其特征在于,包括:采集待检测对象的基础信息;根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算;如果相邻待检测堆的异或计算结果为0的比例达到第二设定阈值,则判断所述待检测对象为堆喷射。2.根据权利要求1所述的方法,其特征在于,所述待检测对象的基础信息包括堆起始地址、堆长度、堆数量。3.根据权利要求1所述的方法,其特征在于,所述根据待检测对象的基础信息,对所述待检测对象的相邻待检测堆进行随机采样,如果相邻待检测堆的一致性超过第一设定阈值,则对相邻待检测堆进行异或计算包括:根据待检测对象的基础信息,分配与所述待检测对象中的待检测堆同样大小的内存空间;将待检测对象的第n个待检测堆复制到所述内存空间;对待检测对象中的第n+1个待检测堆进行随机采样;判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性。4.根据权利要求3所述的方法,其特征在于,判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性之后包括:如果第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性超过第一设定阈值,将待检测对象的第n+1个待检测堆与内存空间中的第n个待检测堆进行异或计算。5.根据权利要求3所述的方法,其特征在于,判断第n+1个待检测堆中采样点与所述内存空间中第n个待检测堆中相同位置点的一致性之后还包括:如果待检测对象的第n+1个待检测堆中的采样点与第n个待检测堆中相同位置点的一致性不超过第一设定阈值;则判定第n+1个待检测堆与第n个待检测堆不一致,执行循环过程,判断所述待检测对象中剩余的相邻待检测堆的一致性。6.根据权利要求1-5中任一所述的方法,其特征在于,通过随机采样依次判断待检测对象中的所有相邻待检测堆的一致性,在相邻待检测堆一致性超过第一设定阈值时进行异或计算,遍历完所述待检测对象中的所有待检测堆之后,判断异或结果为0的比例达到第二设定阈值,如果异或结果为0的比例达到第二设定阈值,则判定发现堆喷射。7.根据权利要求6所述的方法,其特征在于,如果相邻待检测堆的异或结果为0的比例未达到第二设定阈值,则判断所述待检测对象不是堆喷射。8.根据权利要求1所述的方法,其特征在于,还包括:所述第一设定阈值...
【专利技术属性】
技术研发人员:朱易翔,孟阼君,龙洋,王锦华,黄铖斌,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。