本发明专利技术公开了一种CPU漏洞的防御方法及系统。其中,该方法包括:将预设监控代码注入未知进程;所述预设监控代码获取与所述未知进程相对应的指令;根据预设的漏洞防御规则,判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令;若是,针对所述未知进程进行拦截。该方式能够实现指令级别的监控,进而能够监控到与CPU漏洞相关的各个指令,实现更为全面的防御效果。
The defense method and system of CPU vulnerability
【技术实现步骤摘要】
CPU漏洞的防御方法及系统
本专利技术涉及计算机
,具体涉及一种CPU漏洞的防御方法及系统。
技术介绍
中央处理器(CentralProcessingUnit,CPU)漏洞无疑属于一种高危漏洞,一旦恶意程序利用CPU漏洞发起攻击,则会对用户的个人设备造成不可估量的负面影响,甚至会造成设备瘫痪等重大问题。在现有技术中,只能通过监控操作系统提供的接口来判断是否存在针对CPU漏洞的攻击行为。例如,当恶意程序试图通过调用操作系统提供的接口发起针对CPU漏洞的攻击行为时,通过在操作系统提供的接口处设置挂钩等监控方式即可监控到该恶意行为并进行拦截。但是,专利技术人在实现本专利技术的过程中发现,现有技术中的上述方式至少存在下述缺陷:只能从操作系统提供的接口这一层面实现恶意行为的拦截操作,一旦恶意程序绕过操作系统提供的接口直接进入到操作系统内部,则会导致严重的后果。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的CPU漏洞的防御方法及系统。根据本专利技术的一个方面,提供了一种CPU漏洞的防御方法,包括:将预设监控代码注入未知进程;所述预设监控代码获取与所述未知进程相对应的指令;根据预设的漏洞防御规则,判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令;若是,针对所述未知进程进行拦截。根据本专利技术的另一个方面,提供了一种CPU漏洞的防御系统,包括:注入模块,适于将预设监控代码注入未知进程;获取模块,适于通过所述预设监控代码获取与所述未知进程相对应的指令;判断模块,适于根据预设的漏洞防御规则,判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令;拦截模块,适于在判断模块的判断结果为是时,针对所述未知进程进行拦截。根据本专利技术的又一方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;存储器用于存放至少一可执行指令,可执行指令使处理器执行上述CPU漏洞的防御方法对应的操作。根据本专利技术的再一方面,提供了一种计算机存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行如上述CPU漏洞的防御方法对应的操作。根据本专利技术公开的CPU漏洞的防御方法及系统,能够将预设监控代码注入未知进程,由该预设监控代码获取与未知进程相对应的指令,进而根据预设的漏洞防御规则判断该未知进程相对应的指令是否为与CPU漏洞相关的指令;若是,则针对该未知进程进行拦截。由此可见,本专利技术通过向未知进程注入预设监控代码的方式,能够监控未知进程对应的各个指令,从而实现指令级别的监控,进而能够监控到与CPU漏洞相关的各个指令,实现更为全面的防御效果,即使未知进程绕过操作系统提供的接口直接进入到操作系统内部也能够通过指令进行拦截,提升了系统安全性。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术一个实施例的CPU漏洞的防御方法的流程示意图;图2示出了本专利技术另一个实施例的CPU漏洞的防御方法的流程示意图;图3示出了本专利技术又一实施例提供的一种CPU漏洞的防御系统的系统结构图;图4示出了根据本专利技术实施例的一种电子设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了本专利技术一个实施例的CPU漏洞的防御方法的流程示意图。如图1所示,该方法包括:步骤S110:将预设监控代码注入未知进程。其中,注入是指:将一段第三方逻辑代码放置到应用程序内存中并执行。在本实施例中,该第三方逻辑代码即为预设监控代码。该预设监控代码用于实现对未知进程中的各个指令进行监控的目的,本专利技术不限定预设监控代码的具体实现方式,只要能够实现上述目的即可。例如,该预设监控代码可以是动态链接库(DynamicLinkLibrary,简称DLL)文件,进而通过DLL注入技术实现。步骤S120:预设监控代码获取与未知进程相对应的指令。具体地,该预设监控代码在监测到该未知进程发送的指令时,对监测到的指令进行拦截,以接管该未知进程发送的指令。具体实施时,可由该预设监控代码创建虚拟机,以模拟CPU运行环境,从而使未知进程运行于该虚拟机创建的虚拟CPU环境中,进而能够获取到与未知进程相对应的各个指令。当然,本领域技术人员也可以通过设置挂钩函数等多种方式来获取与未知进程相对应的指令,本专利技术对具体实现细节不做限定。步骤S130:根据预设的漏洞防御规则,判断与未知进程相对应的指令是否为与CPU漏洞相关的指令。其中,该预设的漏洞防御规则用于从指令级别判断一个指令是否为与CPU漏洞相关的指令。所谓与CPU漏洞相关的指令是指:通过指令的运行,能够利用CPU漏洞发起攻击的指令,相应地,凡是能够利用CPU漏洞进行恶意行为的指令均属于与CPU漏洞相关的指令。在本实施例中,预设的漏洞防御规则主要用于从指令的执行频率、指令序列的序列特征等方面来识别一个指令是否为与CPU漏洞相关的指令。例如,可以预先确定与CPU漏洞相关的指令的执行频率以及指令序列特征,从而据此设置预设的漏洞防御规则。本专利技术对漏洞防御规则的具体内涵不做限定,只要能够从指令级别识别出恶意指令即可。步骤S140:若是,针对未知进程进行拦截。当判断出与未知进程相对应的指令为与CPU漏洞相关的指令时,即可确定该未知进程为恶意进程,意图利用CPU漏洞发起攻击。相应地,需要针对未知进程进行拦截,以便防御攻击。具体地,在针对未知进程进行拦截时,可通过多种方式实现,例如,可以直接杀死未知进程,以避免该进程继续发起攻击;又如,还可以拦截与未知进程相对应的指令,从而仅拦截某一条或多条恶意指令,从而避免误杀进程。根据本专利技术公开的CPU漏洞的防御方法,能够将预设监控代码注入未知进程,由该预设监控代码获取与未知进程相对应的指令,进而根据预设的漏洞防御规则判断该未知进程相对应的指令是否为与CPU漏洞相关的指令;若是,则针对该未知进程进行拦截。由此可见,本专利技术通过向未知进程注入预设监控代码的方式,能够监控未知进程对应的各个指令,从而实现指令级别的监控,进而能够监控到与CPU漏洞相关的各个指令,实现更为全本文档来自技高网...
【技术保护点】
1.一种CPU漏洞的防御方法,包括:/n将预设监控代码注入未知进程;/n所述预设监控代码获取与所述未知进程相对应的指令;/n根据预设的漏洞防御规则,判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令;/n若是,针对所述未知进程进行拦截。/n
【技术特征摘要】
1.一种CPU漏洞的防御方法,包括:
将预设监控代码注入未知进程;
所述预设监控代码获取与所述未知进程相对应的指令;
根据预设的漏洞防御规则,判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令;
若是,针对所述未知进程进行拦截。
2.根据权利要求1所述的方法,其中,所述预设监控代码用于实现虚拟CPU环境,以供所述未知进程运行于所述虚拟CPU环境中。
3.根据权利要求2所述的方法,其中,所述判断所述与所述未知进程相对应的指令是否为与CPU漏洞相关的指令之后,进一步包括:
若否,由所述预设监控代码接管所述与所述未知进程相对应的指令,以使所述与所述未知进程相对应的指令在所述虚拟CPU环境中执行;
获取所述与所述未知进程相对应的指令的执行结果,当所述执行结果为与CPU漏洞相关的结果时,根据所述与所述未知进程相对应的指令更新所述预设的漏洞防御规则。
4.根据权利要求1-3任一所述的方法,其中,所述预设的漏洞防御规则包括以下中的至少一个:
根据指令频率是否大于预设频率阈值进行防御的规则、以及根据指令序列和/或指令序列组合是否与预设的漏洞指令序列特征相匹配进行防御的规则。
5.根据权利要求1-4任一所述的方法,其中,所述预设的漏洞防御规则通过以下方式创建:
分别将样本监控代码注入各个样本进程,由所述样本监控代码接管与各个样本进程相对应的指令,以使所述与各个样本进程相对应的指令在虚拟CPU环境中执行;
通过机器学习算法,针对所述与各个样本进程相对应的指令以及指令执行结果进行训练...
【专利技术属性】
技术研发人员:潘剑锋,彭岩,秦光远,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。