本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種樣本處理方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著智能設(shè)備的不斷增加，適用于智能設(shè)備的應(yīng)用也不斷增加。由于應(yīng)用可以方便用戶生活，所以許多用戶會(huì)將應(yīng)用安裝至智能設(shè)備中。正因?yàn)槿绱?，?yīng)用也被攻擊者所熱衷。攻擊者可以利用應(yīng)用的腳本語(yǔ)言所存在的漏洞，使用惡意樣本來(lái)獲取終端的控制權(quán)，以達(dá)到任意執(zhí)行惡意樣本的目的，進(jìn)而對(duì)智能設(shè)備的應(yīng)用系統(tǒng)和信息安全造成嚴(yán)重威脅。

以應(yīng)用為flash播放器為例，目前絕大部分的智能設(shè)備上均安裝有flash播放器。flash播放器可以用于播放flash樣本，flash樣本為通常所見(jiàn)的視頻文件。攻擊者可以利用flash播放器的腳本語(yǔ)言所存在的漏洞，使用惡意flash樣本來(lái)獲取終端的控制權(quán)，以達(dá)到任意執(zhí)行惡意flash樣本的目的。

目前，環(huán)境探測(cè)技術(shù)是攻擊者利用惡意樣本攻擊智能設(shè)備時(shí)，所經(jīng)常使用的技術(shù)手段。環(huán)境探測(cè)大體執(zhí)行過(guò)程為：惡意樣本檢測(cè)智能設(shè)備的版本信息，只有在智能設(shè)備的版本信息滿足特定條件下，惡意樣本才會(huì)釋放真正的惡意代碼，以便提高漏洞利用成功率。

技術(shù)實(shí)現(xiàn)要素：

發(fā)明人經(jīng)研究發(fā)現(xiàn)，惡意樣本執(zhí)行環(huán)境探測(cè)的過(guò)程為：判斷其在智能設(shè)備獲取的版本信息集合是否滿足特定條件。在環(huán)境探測(cè)的判斷過(guò)程中必然會(huì)進(jìn)行對(duì)比匹配過(guò)程；由于對(duì)比匹配過(guò)程均屬于邏輯運(yùn)算(等于、不等于、是否等運(yùn)算)，所以，環(huán)境探測(cè)過(guò)程在軟件程序體現(xiàn)上為邏輯運(yùn)算。

目前攻擊者為了躲避智能設(shè)備的檢測(cè)，使得惡意樣本采用變形的手段來(lái)執(zhí)行環(huán)境探測(cè)，在惡意樣本變形之后，常規(guī)的檢測(cè)手段只能檢測(cè)到惡意樣本在執(zhí)行邏輯運(yùn)算，而無(wú)法識(shí)別惡意樣本在執(zhí)行環(huán)境探測(cè)。因此，目前的檢測(cè)手段可能會(huì)將惡意樣本誤判為正常樣本。

鑒于此，本申請(qǐng)?zhí)峁┝艘环N樣本處理方法、裝置及系統(tǒng)，來(lái)準(zhǔn)確判定待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)，以便可以使用其它判斷方法來(lái)進(jìn)一步確定待檢測(cè)樣本是否為惡意樣本。

為了實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┝艘韵录夹g(shù)手段：

一種樣本處理方法，包括：

將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；

在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

優(yōu)選的，還包括：

在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

優(yōu)選的，在所述將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象之前，還包括：

獲取終端上傳的待檢測(cè)樣本；或，

在終端上抓取待檢測(cè)樣本。

一種樣本處理裝置，包括：

確定污染對(duì)象單元，用于將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；

確定探測(cè)單元，用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

優(yōu)選的，還包括：

重新確定污染對(duì)象單元，用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

優(yōu)選的，還包括：

獲取單元，用于獲取終端上傳的待檢測(cè)樣本；或，在終端上抓取待檢測(cè)樣本。

一種樣本處理系統(tǒng)，包括：

多個(gè)終端，與所述多個(gè)終端相連的服務(wù)器；

所述服務(wù)器，用于獲取待檢測(cè)樣本，并且針對(duì)每個(gè)待檢測(cè)樣本執(zhí)行以下步驟：將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

優(yōu)選的，所述服務(wù)器，還用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

優(yōu)選的，所述服務(wù)器，還用于獲取終端上傳的待檢測(cè)樣本；或，在終端上抓取待檢測(cè)樣本。

一種樣本處理系統(tǒng)，包括：

多個(gè)終端，與所述多個(gè)終端相連的服務(wù)器；

所述終端，用于獲取待檢測(cè)樣本，并且針對(duì)每個(gè)待檢測(cè)樣本執(zhí)行下述步驟：將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

優(yōu)選的，所述終端，還用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

優(yōu)選的，所述終端，還用于在與之相連的其它終端或所述服務(wù)器上獲取待檢測(cè)樣本。

從以上技術(shù)手段可以看出，本申請(qǐng)具有以下有益效果：

本申請(qǐng)將通過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒆鳛槲廴緦?duì)象，采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被待檢測(cè)樣本如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算， 所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

本申請(qǐng)中無(wú)論待檢測(cè)樣本是否變形，均可以準(zhǔn)確檢測(cè)到待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)，從而可以在確定待檢測(cè)樣本執(zhí)行環(huán)境探測(cè)后，利用其它方法來(lái)進(jìn)一步確定待檢測(cè)樣本是否為惡意樣本。

附圖說(shuō)明

為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本申請(qǐng)的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請(qǐng)實(shí)施例公開(kāi)的樣本處理系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本申請(qǐng)實(shí)施例公開(kāi)的樣本處理方法的流程圖；

圖3為本申請(qǐng)實(shí)施例公開(kāi)的樣本處理裝置的結(jié)構(gòu)示意圖；

圖4為本申請(qǐng)實(shí)施例公開(kāi)的又一樣本處理裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖，對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本申請(qǐng)一部分實(shí)施例，而不是全部的實(shí)施例?；诒旧暾?qǐng)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本申請(qǐng)保護(hù)的范圍。

在介紹本申請(qǐng)實(shí)施例之前首先介紹一種樣本處理系統(tǒng)，以方便本領(lǐng)域技術(shù)人員更容易理解本申請(qǐng)實(shí)施例的應(yīng)用場(chǎng)景。

如圖1所示，樣本處理系統(tǒng)包括：多個(gè)終端100，與所述多個(gè)終端相連的服務(wù)器200。多個(gè)終端100分別采用：終端1、終端2……終端N表示，N為非零自然數(shù)。

基于上述樣本處理系統(tǒng)，服務(wù)器200可以接收終端100上傳的待檢測(cè)樣本，或者，在終端100上抓取待檢測(cè)樣本，或者，利用其自身已有的待檢測(cè) 樣本。由于服務(wù)器不確定待檢測(cè)樣本是否為惡意樣本，為了保證終端100的安全性，服務(wù)器200可以對(duì)待檢測(cè)樣本進(jìn)行檢測(cè)，以便確定待檢測(cè)樣本是否為惡意樣本。

在服務(wù)器200確定待檢測(cè)樣本為惡意樣本的情況下，則可以對(duì)惡意樣本進(jìn)行處理，防止惡意樣本對(duì)終端100造成安全威脅。在服務(wù)器200確定待檢測(cè)樣本為正常樣本的情況下，則可以將正常樣本下發(fā)至終端100，以便滿足終端100的使用樣本的需求。

所以，本申請(qǐng)所提供的樣本處理方法，可以應(yīng)用于圖1所示的服務(wù)器中。在圖1所示的系統(tǒng)中，服務(wù)器200可以統(tǒng)一處理待檢測(cè)樣本，可以提高待檢測(cè)樣本的處理效率和準(zhǔn)確性。

此外，本申請(qǐng)所提供的樣本處理方法，還可以應(yīng)用于終端100上。終端100可以在與之相連的其它終端(圖示未示出)上獲取待檢測(cè)樣本，或者獲取用戶上傳的待檢測(cè)樣本，或者在服務(wù)器200上獲取待檢測(cè)樣本，或者獲取其自身已有的待檢測(cè)樣本。

在終端100確定待檢測(cè)樣本為正常樣本之后，再將正常樣本上傳至服務(wù)器200。服務(wù)器200便可以將正常樣本發(fā)送至其它終端100，以滿足其它終端100使用樣本的需求。當(dāng)然，在終端100確定待檢測(cè)樣本為正常樣本之后，可以使用正常樣本，以滿足自身使用樣本的需求。

本申請(qǐng)所提供的樣本處理方法，無(wú)論應(yīng)用于服務(wù)器還是終端上，均可以實(shí)現(xiàn)本申請(qǐng)的目的。在應(yīng)用于終端的情況下，需要每個(gè)終端均安裝執(zhí)行本申請(qǐng)的軟件程序；如果本申請(qǐng)應(yīng)用于服務(wù)器的情況下，則需要在在服務(wù)器上安裝本申請(qǐng)的軟件程序。相對(duì)于在每個(gè)終端上安裝執(zhí)行本申請(qǐng)的軟件程序而言，僅在服務(wù)器上安裝執(zhí)行本申請(qǐng)的軟件程序，相對(duì)而言較為簡(jiǎn)單方便。

由于終端與服務(wù)器，對(duì)待檢測(cè)樣本的處理過(guò)程是一致的，為了清楚介紹本申請(qǐng)的執(zhí)行過(guò)程，所以本申請(qǐng)將服務(wù)器和終端統(tǒng)稱為控制端，以控制端來(lái)表示服務(wù)器200或終端100。并且，控制端針對(duì)每個(gè)待檢測(cè)樣本的執(zhí)行過(guò)程均是一致的，所以本申請(qǐng)僅針對(duì)控制端對(duì)一個(gè)待檢測(cè)樣本的具體執(zhí)行過(guò)程進(jìn)行詳細(xì)說(shuō)明。可以理解的是，其它待檢測(cè)樣本的處理過(guò)程與此類似，在此不再贅述。

在介紹本申請(qǐng)所提供的樣本處理方法的具體執(zhí)行過(guò)程之前，先介紹本申請(qǐng)的大體思路：

待檢測(cè)樣本可能為正常樣本，可能為惡意樣本。惡意樣本可以獲取控制端的版本信息集合，以便進(jìn)行環(huán)境探測(cè)。少量的正常樣本也可以獲取控制端的版本信息集合，以便利用版本信息集合確定適應(yīng)控制端的使用需求。因此，待檢測(cè)樣本一般會(huì)獲取版本信息集合，版本信息集合可以包括控制端的系統(tǒng)版本信息以及播放器的版本信息等信息。

為了獲取控制端的版本信息集合，待檢測(cè)樣本中設(shè)置有一個(gè)版本嗅探版本嗅探API，利用該版本嗅探API可以與控制端進(jìn)行連接，從而方便待檢測(cè)樣本獲取控制端的版本信息集合。其中，版本嗅探API(Application Programming Interface，應(yīng)用程序編程接口)是一些預(yù)先定義的函數(shù)，目的是提供應(yīng)用程序與開(kāi)發(fā)人員基于某軟件或硬件得以訪問(wèn)一組例程的能力，而又無(wú)需訪問(wèn)源碼，或理解內(nèi)部工作機(jī)制的細(xì)節(jié)。

為了實(shí)現(xiàn)在待檢測(cè)樣本變形之后，仍可以識(shí)別出待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)過(guò)程，本申請(qǐng)采用如下污染源跟蹤方法：將獲取版本信息集合的版本嗅探API作為污染源，那么通過(guò)版本嗅探API傳輸?shù)乃邪姹拘畔⒕鶠楸晃廴镜奈廴緦?duì)象。并且，經(jīng)過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒃诮?jīng)過(guò)一系列變形之后得到的信息，仍然為污染對(duì)象。即，污染對(duì)象即為版本信息，版本信息即為污染對(duì)象。

由于污染對(duì)象即為版本信息，并且，環(huán)境探測(cè)相當(dāng)于版本信息在執(zhí)行邏輯運(yùn)算，因此在后續(xù)判斷過(guò)程中，可以判斷待檢測(cè)樣本有無(wú)對(duì)污染對(duì)象執(zhí)行邏輯計(jì)算；如果待檢測(cè)樣本對(duì)污染對(duì)象執(zhí)行邏輯計(jì)算，則可以直接確定待檢測(cè)樣本在對(duì)版本信息執(zhí)行邏輯運(yùn)算，即待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

在上述技術(shù)思路的前提下，參見(jiàn)圖2，本申請(qǐng)?zhí)峁┝艘环N樣本處理方法，包括步驟S201～S204：

步驟S201：將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象。

由于版本信息均有一定的表現(xiàn)形式，通過(guò)一定的表現(xiàn)形式，控制端則可以得知一個(gè)信息為版本信息。但是，若攻擊者對(duì)待檢測(cè)樣本變形之后，則可 能導(dǎo)致版本信息具有其它的表現(xiàn)形式，從而使得控制端則無(wú)法識(shí)別出版本信息。

由于版本信息均是從版本嗅探API傳輸?shù)?，所以從版本嗅探API傳輸?shù)男畔⒕鶠榘姹拘畔ⅰＲ虼?，不論一個(gè)信息改變?yōu)楹畏N表現(xiàn)形式，只要其根源為由版本嗅探API傳輸而來(lái)，則可以確定其為版本信息。因此，本申請(qǐng)將傳輸版本信息的版本嗅探API作為污染源。由于版本嗅探API為污染源，因此從版本嗅探API輸出的每個(gè)版本信息，均為污染對(duì)象；即本申請(qǐng)將版本信息作為污染對(duì)象。

在具體實(shí)現(xiàn)時(shí)，控制端可以將從版本嗅探API輸出的每個(gè)信息添加標(biāo)記，以表示其為污染對(duì)象，同時(shí)表示其為版本信息。添加標(biāo)記的方式可以為添加特殊內(nèi)容，或者，增加指定的前綴或指定的后綴等方式，在此不再一一列舉。

針對(duì)在步驟S201中確定的每個(gè)污染對(duì)象，均執(zhí)行下述步驟S202～步驟S205。

步驟S202：判斷所述待檢測(cè)樣本是否利用污染對(duì)象執(zhí)行算術(shù)運(yùn)算，若是則進(jìn)入步驟S203，否則進(jìn)入步驟S204。

惡意樣本為了偽裝其利用版本信息進(jìn)行環(huán)境探測(cè)，可能對(duì)版本信息進(jìn)行一次或多次算術(shù)運(yùn)算，從而使得版本信息改變?yōu)槠渌畔?，然后再利用其它信息?zhí)行環(huán)境探測(cè)，從而躲避控制端檢測(cè)環(huán)境探測(cè)的技術(shù)手段。

例如，惡意樣本對(duì)版本信息A進(jìn)行一次算術(shù)計(jì)算后變成信息B，再次進(jìn)行一次算術(shù)運(yùn)算后，變成信息C。信息C與版本信息A已經(jīng)完全不一致，所以惡意樣本在利用信息C執(zhí)行環(huán)境探測(cè)時(shí)，控制端僅可以識(shí)別出信息C在進(jìn)行邏輯運(yùn)算，而無(wú)法識(shí)別出惡意樣本在利用版本信息進(jìn)行環(huán)境探測(cè)。

為此，本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象執(zhí)行算術(shù)運(yùn)算，若是，則進(jìn)入步驟S203，以便跟蹤版本信息，也即跟蹤污染對(duì)象。

步驟S203：將利用污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。即，在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。然后，再次進(jìn)入步驟S202。

為了在版本信息改變表現(xiàn)形式之后仍可以識(shí)別出版本信息，本申請(qǐng)可以跟蹤版本信息即跟蹤污染對(duì)象。針對(duì)任一污染對(duì)象，跟蹤污染對(duì)象的具體實(shí) 現(xiàn)過(guò)程為：當(dāng)污染對(duì)象(版本信息)進(jìn)行一次算術(shù)運(yùn)算后，會(huì)改變其原來(lái)表現(xiàn)形式時(shí)，將污染對(duì)象(版本信息)進(jìn)行算術(shù)運(yùn)算的運(yùn)算結(jié)果重新作為污染對(duì)象。

由于待檢測(cè)樣本可能會(huì)對(duì)版本信息進(jìn)行多次算術(shù)運(yùn)算，所以再次進(jìn)入步驟S202，重復(fù)執(zhí)行步驟S202和步驟S203，直到污染對(duì)象不再執(zhí)行算術(shù)運(yùn)算。在待檢測(cè)樣本不再對(duì)污染對(duì)象執(zhí)行算術(shù)運(yùn)算之后，則表明待檢測(cè)樣本對(duì)污染對(duì)象變形已結(jié)束，此時(shí)可以進(jìn)入步驟S204。

即，如果一個(gè)信息為污染對(duì)象，由此計(jì)算得到的其它信息同為污染對(duì)象。這樣即便在惡意樣本多次利用算術(shù)運(yùn)算更改版本信息的情況下，控制端仍然可以通過(guò)污染對(duì)象，來(lái)識(shí)別一個(gè)信息為版本信息。

例如，將版本信息A確定為污染對(duì)象，對(duì)版本信息A添加標(biāo)記“污染”。在版本信息A進(jìn)行算術(shù)計(jì)算后變成信息B后，仍然為信息B添加標(biāo)記“污染”；在信息B再次進(jìn)行算術(shù)運(yùn)算后變成信息C后，仍然為信息C添加標(biāo)記“污染”。

控制端通過(guò)信息C的標(biāo)記“污染”，仍然可以確定信息C為由版本信息演變而來(lái)，所以仍然可以確定信息C為版本信息。

步驟S204：判斷所述待檢測(cè)樣本是否利用污染對(duì)象執(zhí)行邏輯運(yùn)算；若是，進(jìn)入步驟S205，否則，執(zhí)行其它處理過(guò)程。即，在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

本申請(qǐng)采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被攻擊者如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算，所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

若待檢測(cè)樣本未利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，則說(shuō)明待檢測(cè)樣本未執(zhí)行環(huán)境探測(cè)，可以執(zhí)行其它處理過(guò)程。

步驟S205：確定待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。即，在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

從以上內(nèi)容可以看出，本申請(qǐng)具有以下有益效果：

本申請(qǐng)將通過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒆鳛槲廴緦?duì)象，采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被攻擊者如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算，所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

在利用圖2所示的過(guò)程，確定待檢測(cè)樣本執(zhí)行環(huán)境探測(cè)之后，便可以確定待檢測(cè)樣本為可疑樣本。為了進(jìn)一步確定可疑樣本是否為惡意樣本，可以利用其它檢測(cè)技術(shù)手段來(lái)執(zhí)行進(jìn)一步檢測(cè)。例如，檢測(cè)堆噴射、類型混淆、shellcode(shellcode通常是一段利用軟件漏洞的代碼，用來(lái)作為進(jìn)行攻擊的負(fù)載)等技術(shù)手段；一旦其它檢測(cè)條件成立，則可以確定可疑樣本為惡意樣本。

如果進(jìn)一步檢測(cè)確定可疑樣本為惡意樣本，則對(duì)惡意樣本進(jìn)行處理；如果進(jìn)一步檢測(cè)確定可疑樣本不為惡意樣本，則確定可疑樣本為正常樣本，可以按照正常樣本的處理方式繼續(xù)處理。

以待檢測(cè)樣本為待檢測(cè)flash樣本為例，介紹本申請(qǐng)的一種場(chǎng)景實(shí)施例：

控制端將待檢測(cè)flash樣本獲取版本信息的API稱為版本嗅探API，并將版本嗅探API作為污染源。然后，將待檢測(cè)flash樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象。

控制端檢測(cè)到待檢測(cè)flash樣本對(duì)一個(gè)污染對(duì)象進(jìn)行算術(shù)運(yùn)算后，將對(duì)污染對(duì)象進(jìn)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。即，控制端利用污染源跟蹤的方式跟蹤每個(gè)污染對(duì)象，也即為跟蹤每個(gè)版本信息。即使攻擊者對(duì)版本信息進(jìn)行變形之后，控制端仍可以通過(guò)判定一個(gè)信息為污染對(duì)象，來(lái)判定該信息為版本信息。

控制端在檢測(cè)到待檢測(cè)flash樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，則可以確定所述待檢測(cè)flash樣本在執(zhí)行環(huán)境探測(cè)。然后，將待檢測(cè)flash樣本確定為可疑flash樣本，并利用進(jìn)一步的技術(shù)手段來(lái)檢測(cè)可疑flash樣本是否為惡意flash樣本。

如果進(jìn)一步檢測(cè)確定可疑flash樣本為惡意flash樣本，則對(duì)惡意flash樣本進(jìn)行處理；如果進(jìn)一步檢測(cè)確定可疑flash樣本不為惡意flash樣本，則確定 可疑flash樣本為正常flash樣本，可以按照正常flash樣本的處理方式繼續(xù)處理。

與圖2所示的一種樣本處理方法相對(duì)應(yīng)，本申請(qǐng)?zhí)峁┝艘环N樣本處理裝置。如圖3所示，具體包括：

確定污染對(duì)象單元31，用于將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；

確定探測(cè)單元32，用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

重新確定污染對(duì)象單元33，用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

如圖4所示，本申請(qǐng)還提供了一種樣本處理裝置，還包括：

獲取單元34，用于獲取終端上傳的待檢測(cè)樣本；或，在終端上抓取待檢測(cè)樣本。

通過(guò)以上技術(shù)內(nèi)容，可以看出本裝置具有以下有益效果：

本申請(qǐng)將通過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒆鳛槲廴緦?duì)象，采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被攻擊者如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算，所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

本申請(qǐng)無(wú)論待檢測(cè)樣本是否變形，均可以準(zhǔn)確檢測(cè)到待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)，從而可以在確定待檢測(cè)樣本執(zhí)行環(huán)境探測(cè)后，用其它方法來(lái)進(jìn)一步確定待檢測(cè)樣本是否為惡意樣本。

參見(jiàn)圖1，本申請(qǐng)?zhí)峁┝艘环N樣本處理系統(tǒng)，包括：

多個(gè)終端100，與所述多個(gè)終端相連的服務(wù)器200。多個(gè)終端100分別采用：終端1、終端2……終端N表示，N為非零自然數(shù)。

其中，服務(wù)器200，用于獲取待檢測(cè)樣本，針對(duì)每個(gè)待檢測(cè)樣本執(zhí)行以下步驟：將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

所述服務(wù)器200，還用于獲取終端100上傳的待檢測(cè)樣本；或，在終端100上抓取待檢測(cè)樣本。并且，所述服務(wù)器200，還用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

服務(wù)器200，可以在所述多個(gè)終端100上獲取待檢測(cè)樣本，并針對(duì)每個(gè)待檢測(cè)樣本判斷其是否在執(zhí)行環(huán)境探測(cè)。如果待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)，則采用進(jìn)一步的技術(shù)手段，來(lái)判斷其是否為惡意樣本。

通過(guò)以上技術(shù)內(nèi)容，可以看出本系統(tǒng)具有以下有益效果：

本申請(qǐng)將通過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒆鳛槲廴緦?duì)象，采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被攻擊者如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算，所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

本申請(qǐng)無(wú)論待檢測(cè)樣本是否變形，均可以準(zhǔn)確檢測(cè)到待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)，從而可以在確定待檢測(cè)樣本執(zhí)行環(huán)境探測(cè)后，用其它方法來(lái)進(jìn)一步確定待檢測(cè)樣本是否為惡意樣本。

參見(jiàn)圖1，本申請(qǐng)?zhí)峁┝艘环N樣本處理系統(tǒng)，包括：

多個(gè)終端100，與所述多個(gè)終端相連的服務(wù)器200。多個(gè)終端100分別采用：終端1、終端2……終端N表示，N為非零自然數(shù)。

其中，所述終端100，用于獲取待檢測(cè)樣本，并且針對(duì)每個(gè)待檢測(cè)樣本執(zhí)行下述步驟：將待檢測(cè)樣本通過(guò)版本嗅探API傳輸?shù)拿總€(gè)版本信息，確定為污染對(duì)象；其中，所述版本嗅探API為待檢測(cè)樣本與控制端對(duì)接的應(yīng)用程序接口；在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行邏輯運(yùn)算的情況下，確定所述待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)。

所述終端100，還用于在所述待檢測(cè)樣本利用任一污染對(duì)象執(zhí)行算術(shù)運(yùn)算的情況下，將利用該污染對(duì)象執(zhí)行算術(shù)運(yùn)算的結(jié)果，重新確定為污染對(duì)象。

終端100，可以在與之相連的其它終端或服務(wù)器200上獲取待檢測(cè)樣本，并針對(duì)每個(gè)待檢測(cè)樣本判斷其是否在執(zhí)行環(huán)境探測(cè)。如果待檢測(cè)樣本在執(zhí)行環(huán)境探測(cè)，則采用進(jìn)一步的技術(shù)手段，來(lái)判斷其是否為惡意樣本。

通過(guò)以上技術(shù)手段，可以看出本申請(qǐng)?zhí)峁┑南到y(tǒng)具有以下有益效果：

本申請(qǐng)將通過(guò)版本嗅探API傳輸?shù)陌姹拘畔⒆鳛槲廴緦?duì)象，采用污染源跟蹤的方式，可以時(shí)時(shí)刻刻跟蹤版本信息，不論版本信息被攻擊者如何變更，污染對(duì)象即為版本信息。由于環(huán)境探測(cè)為利用版本信息進(jìn)行邏輯運(yùn)算，所以本申請(qǐng)判斷待檢測(cè)樣本是否利用污染對(duì)象在執(zhí)行邏輯運(yùn)算。若待檢測(cè)樣本利用污染對(duì)象在執(zhí)行邏輯運(yùn)算，便可以確定待檢測(cè)樣本在進(jìn)行環(huán)境探測(cè)。

本申請(qǐng)無(wú)論待檢測(cè)樣本是否變形，均可以準(zhǔn)確檢測(cè)到待檢測(cè)樣本是否有執(zhí)行環(huán)境探測(cè)，從而可以在確定待檢測(cè)樣本執(zhí)行環(huán)境探測(cè)后，用其它方法來(lái)進(jìn)一步確定待檢測(cè)樣本是否為惡意樣本。

本實(shí)施例方法所述的功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算設(shè)備可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解，本申請(qǐng)實(shí)施例對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，移動(dòng)計(jì)算設(shè)備或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

本說(shuō)明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其它實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同或相似部分互相參見(jiàn)即可。

對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本申請(qǐng)。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的，本文中所定義的一般原理可以在不脫離本申請(qǐng)的精神或范圍的情況下， 在其它實(shí)施例中實(shí)現(xiàn)。因此，本申請(qǐng)將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。