【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于程序执行缓存技术实现的安全威胁检测方法。
技术介绍
1、目前,计算机系统面临着日益复杂和多样化的安全威胁,恶意软件、黑客攻击、后门植入等安全事件层出不穷,传统的安全检测手段依赖于恶意程序行为分析,要花费大量的时间和资源来分析程序的行为模式,因此如何设计一种快速准确的安全威胁检测方法成为一个重要问题。
技术实现思路
1、(一)要解决的技术问题
2、由于网络安全安全问题日益突出,终端侧威胁发现始终存在资源消耗高、检测效率低、实时检测难度大等问题,本专利技术提供一种基于shimcache缓存技术实现的安全威胁检测方法。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供了一种基于程序执行缓存技术实现的安全威胁检测方法,包括以下步骤:
5、步骤1:从多个数据来源获取shimcache缓存数据;
6、步骤2:解析shimcache缓存数据的系统信息;
7、步骤3:基于解析到的系统...
【技术保护点】
1.一种基于程序执行缓存技术实现的安全威胁检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1中获取ShimCache缓存数据的第一种方式是从系统本地注册表中收集ShimCache缓存数据,实现方式如下:
3.如权利要求1所述的方法,其特征在于,步骤1中获取ShimCache缓存数据的第二种方式是从系统内存中解析ShimCache缓存数据,实现方式如下:
4.如权利要求1所述的方法,其特征在于,步骤2中采用特征比对法对系统信息进行判断,检查ShimCache缓存数据中的二进制内容前4个字节magic ...
【技术特征摘要】
1.一种基于程序执行缓存技术实现的安全威胁检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1中获取shimcache缓存数据的第一种方式是从系统本地注册表中收集shimcache缓存数据,实现方式如下:
3.如权利要求1所述的方法,其特征在于,步骤1中获取shimcache缓存数据的第二种方式是从系统内存中解析shimcache缓存数据,实现方式如下:
4.如权利要求1所述的方法,其特征在于,步骤2中采用特征比对法对系统信息进行判断,检查shimcache缓存数据中的二进制内容前4个字节magic tag的数值,若为0xbadc0fee,则判断为windows7系统;检查二进制内容中unicode_string的大小,若为8字节,则判断为32位系统。
5.如权利要求1所述的方法,其特征在于,步骤3中采用循环处理法对shimcache缓存数据进行内容提取,根据系统信息解析shimcache...
【专利技术属性】
技术研发人员:朱怀东,吴志勇,饶金龙,穆源,黄天纵,吴庆,宋晓斌,马陈城,刘磊,张俊,杨资集,吴吉胜,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。