【技术实现步骤摘要】
一种基于内存检查的运行时防护方法及装置
[0001]本专利技术涉及可信计算
,尤其涉及一种基于内存检查的运行时防护方法及装置。
技术介绍
[0002]传统安全技术都是执行前对程序文件进行静态检测,而忽视了程序运行之后程序区被篡改的可能。一些黑客故意使用恶意工具启动被攻击程序,而不是直接启动被攻击程序,从而获得修改被攻击程序的内存的可能,这将产生极大的安全隐患。
[0003]针对内存的攻击,主要是指攻击者利用软件安全漏洞,构造恶意输入,导致软件在处理数据流时出现非预期错误,将输入数据写入内存中的某些特定位置,从而劫持软件控制流,转而执行外部输入的指令代码,造成目标系统被获取远程控制权限或者被拒绝服务。常见的内存攻击的漏洞缺陷,大多表现为软件编写错误,如过滤输入的条件设置缺陷、变量类型转换错误、逻辑判断错误、指针引用错误等。造成内存攻击的根本原因是,没有严格区分内存区中的数据和指令,通过对数据的操作,达到修改程序指令的目的。
[0004]随着时间的推移,基于内存的攻击技术层出不穷,常见的针对内存的攻击的防御...
【技术保护点】
【技术特征摘要】
1.一种基于内存检查的运行时防护方法,其特征在于,所述方法,包括:步骤S1:根据用户创建进程的请求,获取新加载的程序;步骤S2:根据新加载程序的初始程序代码段、程序常量段和环境变量段计算所述程序的基准值;步骤S3:配置用户策略,所述用户策略包括周期性触发策略、关键操作触发策略、阻断策略和告警策略;步骤S4:计算新加载程序的当前度量值,比较新加载程序的当前度量值与步骤S2中程序的基准值,根据比较结果和用户策略触发再次度量或识别异常。2.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S1,包括:根据用户创建进程的请求,读取用户程序的可执行文件,为程序分配内存,将程序加载至不同内存段;同时更新业务系统程序列表,监控并定期读取程序列表,获取新加载的程序。3.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S2,包括:提取新加载程序的程序代码段、程序常量段和环境变量段,根据提取的程序代码段、程序常量段和环境变量段计算哈希值,将计算所得的哈希值作为程序的初始度量值;将程序的初始度量值设置为程序的基准值,存储至安全存储区,持久化保存程序的基准值列表。4.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S3中,周期性触发策略,包括:配置定时器,当定时器到达设定值时,触发对内存的度量,对所述新加载程序进行周期性内存检查。5.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S3中,关键操作触发策略,包括:监控所述新加载程序的关键行为,当新加载程序发生关键行为时,触发对内存的度量,对所述新加载程序进行一轮内存检查,其中,所述关键行为包括文件创建、删除与读写,网络链接的建立与发送,设备操作。6.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S4中,计算新加载程序的当前度量值,包括:提取新加载程序的当前程序代码段、程序常量段、环境变量段,根据提取的当前程序代码段、程序常量段和环境变量段计算哈希值并将计算所得的哈希值作为程序的当前度量值。7.根据权利要求1所述的基于内存检查的运行时防护方法,其特征在于,步骤S4中,将程序的当前度量值与步骤S2中程序的基准值进行比较,根据比较结果和用户策略触发再次度量或识别异常,包括:当新加载程序的当前度量值与基准值一致,且用户策略为周期性触发策略时,等待下一轮内存检查触发;当新加载程序的当前度量值与基准值一致,且用户...
【专利技术属性】
技术研发人员:牛登平,
申请(专利权)人:中电云数智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。