【技术实现步骤摘要】
指令执行序列被破坏的防护方法、装置及设备
[0001]本申请涉及网络安全
,尤其是涉及到一种指令执行序列被破坏的防护方法、装置及设备。
技术介绍
[0002]互联网信息化发达的当代,网络黑客攻击事件越来越多,黑客攻击手段也在不断演化。黑客可利用漏洞使得软件进程实现一些攻击事件,因此,为了更好的约束软件进程合法事件的执行,可利用定义权限集的方式,限制软件进程所能执行的事件。
[0003]目前,可将程序执行时对应的指令执行序列与预设正常行为的指令执行序列进行匹配,以便及时发现是否存在攻击事件。然而,如果程序执行时对应的指令执行序列被破坏,导致无法提取完整的指令执行序列进行匹配,进而躲过安全检测,从而产生误报安全的情况,造成了一定的安全隐患。
技术实现思路
[0004]有鉴于此,本申请提供了一种指令执行序列被破坏的防护方法、装置及设备,主要目的在于解决目前如果指令执行序列被破坏时,会躲过安全检测,从而产生误报安全的技术问题。
[0005]根据本申请的一个方面,提供了一种指令执行序列被破坏的防护...
【技术保护点】
【技术特征摘要】
1.一种指令执行序列被破坏的防护方法,其特征在于,包括:当监控点事件的指令执行序列不完整时,根据所述监控点事件和当前栈内存空间大小,搜索相关联的正常模式栈特征;获取搜索到的所述正常模式栈特征所存的完整指令执行序列,以及所述完整指令执行序列之间的相对偏移;根据所述完整指令执行序列和所述相对偏移,修复不完整的所述指令执行序列。2.根据权利要求1所述的方法,其特征在于,在当监控点事件的指令执行序列不完整时,根据所述监控点事件和当前栈空间大小,搜索相关联的正常模式栈特征之前,所述方法还包括:根据监控点事件的当前栈基址以及栈顶指针,获取当前栈内存空间;从所述当前栈内存空间中获取所述监控点事件的指令执行序列。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:通过判断指令执行序列的最底层指令是否是线程初始化指令,确定所述监控点事件的指令执行序列是否完整。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:收集样本监控点事件完整的样本指令执行序列,以及所述样本指令执行序列之间的相对偏移,以及所述样本监控点事件当时的栈内存空间大小;将所述样本指令执行序列、所述样本指令执行序列之间的相对偏移、所述样本监控点事件当时的栈内存空间大小作为特征,以所述样本监控点事件作为key进行映射保存,生成正常模式栈特征。5.根据权利要求4所述的方法,其特征在于,所述根据所述监控点事件和当前栈内存空间大小,搜索相关联的正常模式栈特征,具体包括:按照所述监控点事件作为搜索key,并以所述当前栈内存空间大小作为搜索条...
【专利技术属性】
技术研发人员:杨晓东,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。