本申请公开了一种基于DMA的高级木马实时检测方法及系统。本方法首先通过PCIE接口建立DMA硬件与目标机的连接关系,实时获取目标机内存的映射,并将目标机内存的映射传输到分析机中;分析机对目标机内存映射的数据进行解析得到目标机内存映射的系统信息以及在内存中正在运行的数据信息;根据预设的时间间隔进行数据抓取,通过相邻两个时刻的数据进行差集计算得到目标机内存变化数据,基于目标机内存变化数据对高级木马进行实时检测。本方法使用基于DMA技术的实时监测检测模型,可以在木马入侵行为的初期,甚至木马刚刚启动还未进行入侵动作时及时发现该威胁,及时清理并发出告警。
1、内存安全的概念,内存安全的核心原理是从计算机的体系结构出发,任何需要cpu执行的代码、处理的数据都需要经过内存进行存储。通过监控指令可以监控内存代码和数据状态。通过内存虚拟化等技术来监控内存的读、写、执行行为可以有效防御各种威胁。
2、apt又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。由于执行此类攻击需要付出极大精力,因此apt通常都是瞄准高价值目标,最终目的在于长期窃取信息。apt攻击的主要危险在于,即使被发现且当前威胁似乎已解除,但黑客仍然可能留下了多个后门,让他们可以选择适当的时机再返回。此外,许多传统网络防御措施(例如防病毒软件和防火墙)不能始终针对这些类型的攻击提供保护。apt攻击通常是多样攻击方式的组合,因此在防御上也需要进行多层次多方位的检测和防御。因其隐蔽性强,传统的安全防御方式很难察觉。
1、基于此,本申请实施例提供了一种基于dma的高级木马实时检测方法及系统,使用基于dma技术的实时监测检测模型,可以在木马入侵行为的初期,甚至木马刚刚启动还未进行入侵动作时及时发现该威胁,及时清理并发出告警。
>3、通过pcie接口建立dma硬件与目标机的连接关系,实时获取目标机内存的映射,并将所述目标机内存的映射传输到分析机中;其中,所述目标机为待检测机器;4、分析机对目标机内存映射的数据进行解析得到目标机内存映射的系统信息以及在内存中正在运行的数据信息;
5、根据预设的时间间隔进行数据抓取,通过相邻两个时刻的数据进行差集计算得到目标机内存变化数据,基于所述目标机内存变化数据对高级木马进行实时检测。
6、可选地,分析机对目标机内存映射的数据进行解析,包括:
7、通过python的第三方库memprocfs对目标机内存映射的数据进行解析;其中,利用memprocfs库提供的vmm对象,通过接口传入dma硬件参数进行初始化;通过解析vmm连接对象的数据可以得到目标机内存映射的系统信息及在内存中正在运行的数据信息。
8、可选地,目标机内存映射的系统信息及在内存中正在运行的数据信息至少包括:目标机正在运行的所有进程信息及进程加载的动态链接库信息、线程、进程环境块信息、网络连接信息、系统服务信息、注册表信息、计划任务和驱动信息。
9、可选地,数据进行解析的过程包括:
10、将原始的二进制数据转换成可读的格式,包括将内存地址转换为进程id、文件路径;
11、识别内存区域所对应的进程,确定出新增以及销毁进程;
12、识别内存区域所属于动态链接库;其中,通过查找特定文件头标识或者使用文件格式解析算法实现;
13、分析内存中的网络连接数据,识别网络连接建立状态。
14、可选地,基于所述目标机内存变化数据对高级木马进行实时检测,包括:
15、当时识别出新增的进程或者新加载的动态链接库时,转储识别结果在内存中分配的地址空间,得到识别结果的二进制数据,使用规则引擎对二进制数据进行威胁检测,确定出新增的进程或新加载的动态链接库中是否包含威胁。
16、第二方面,提供了一种基于dma的高级木马实时检测系统,该系统包括:
17、dma硬件,用于通过pcie接口建立与目标机的连接关系,实时获取目标机内存的映射,并将所述目标机内存的映射传输到分析机中;其中,所述目标机为待检测机器;
18、分析机,用于对目标机内存映射的数据进行解析得到目标机内存映射的系统信息以及在内存中正在运行的数据信息;根据预设的时间间隔进行数据抓取,通过相邻两个时刻的数据进行差集计算得到目标机内存变化数据,基于所述目标机内存变化数据对高级木马进行实时检测。
19、可选地,分析机对目标机内存映射的数据进行解析,包括:
20、通过python的第三方库memprocfs对目标机内存映射的数据进行解析;其中,利用memprocfs库提供的vmm对象,通过接口传入dma硬件参数进行初始化;通过解析vmm连接对象的数据可以得到目标机内存映射的系统信息及在内存中正在运行的数据信息。
21、可选地,目标机内存映射的系统信息及在内存中正在运行的数据信息至少包括:目标机正在运行的所有进程信息及进程加载的动态链接库信息、线程、进程环境块信息、网络连接信息、系统服务信息、注册表信息、计划任务和驱动信息。
22、可选地,数据进行解析的过程包括:
23、将原始的二进制数据转换成可读的格式,包括将内存地址转换为进程id、文件路径;
24、识别内存区域所对应的进程,确定出新增以及销毁进程;
25、识别内存区域所属于动态链接库;其中,通过查找特定文件头标识或者使用文件格式解析算法实现;
26、分析内存中的网络连接数据,识别网络连接建立状态。
27、可选地,基于所述目标机内存变化数据对高级木马进行实时检测,包括:
28、当时识别出新增的进程或者新加载的动态链接库时,转储识别结果在内存中分配的地址空间,得到识别结果的二进制数据,使用规则引擎对二进制数据进行威胁检测,确定出新增的进程或新加载的动态链接库中是否包含威胁。
29、本申请实施例提供的技术方案带来的有益效果至少包括:
30、(1)通过实时获取和解析目标机的内存映射数据,可以实时监控系统中的进程和动态链接库的状态,及时发现异常行为或潜在威胁。
31、(2)通过使用dma技术实时获取内存数据,能够高效地处理大量内存数据,提高了数据处理的速度和效率。
本文档来自技高网...
【技术保护点】
1.一种基于DMA的高级木马实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的高级木马实时检测方法,其特征在于,分析机对目标机内存映射的数据进行解析,包括:
3.根据权利要求2所述的高级木马实时检测方法,其特征在于,目标机内存映射的系统信息及在内存中正在运行的数据信息至少包括:目标机正在运行的所有进程信息及进程加载的动态链接库信息、线程、进程环境块信息、网络连接信息、系统服务信息、注册表信息、计划任务和驱动信息。
4.根据权利要求1所述的高级木马实时检测方法,其特征在于,数据进行解析的过程包括:
5.根据权利要求1所述的高级木马实时检测方法,其特征在于,基于所述目标机内存变化数据对高级木马进行实时检测,包括:
6.一种基于DMA的高级木马实时检测系统,其特征在于,所述系统包括:
7.根据权利要求6所述的高级木马实时检测系统,其特征在于,分析机对目标机内存映射的数据进行解析,包括:
8.根据权利要求7所述的高级木马实时检测系统,其特征在于,目标机内存映射的系统信息及在内存中正在运行的数据信息至少包括:目标机正在运行的所有进程信息及进程加载的动态链接库信息、线程、进程环境块信息、网络连接信息、系统服务信息、注册表信息、计划任务和驱动信息。
9.根据权利要求6所述的高级木马实时检测系统,其特征在于,数据进行解析的过程包括:
10.根据权利要求6所述的高级木马实时检测系统,其特征在于,基于所述目标机内存变化数据对高级木马进行实时检测,包括:
...
【技术特征摘要】
1.一种基于dma的高级木马实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的高级木马实时检测方法,其特征在于,分析机对目标机内存映射的数据进行解析,包括:
3.根据权利要求2所述的高级木马实时检测方法,其特征在于,目标机内存映射的系统信息及在内存中正在运行的数据信息至少包括:目标机正在运行的所有进程信息及进程加载的动态链接库信息、线程、进程环境块信息、网络连接信息、系统服务信息、注册表信息、计划任务和驱动信息。
4.根据权利要求1所述的高级木马实时检测方法,其特征在于,数据进行解析的过程包括:
5.根据权利要求1所述的高级木马实时检测方法,其特征在于,基于所述目标机内存变化数据对高级木马进行实时检测,包括:
...
【专利技术属性】
技术研发人员:刘庆林,李宁,吕宗辉,陈健,魏海宇,李小琼,徐言成,谢辉,刘海洋,崔立晓,刘永振,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。