CN101159732A - 基于数据流分析的恶意攻击检测方法 - Google Patents
基于数据流分析的恶意攻击检测方法 Download PDFInfo
- Publication number
- CN101159732A CN101159732A CNA2007100497531A CN200710049753A CN101159732A CN 101159732 A CN101159732 A CN 101159732A CN A2007100497531 A CNA2007100497531 A CN A2007100497531A CN 200710049753 A CN200710049753 A CN 200710049753A CN 101159732 A CN101159732 A CN 101159732A
- Authority
- CN
- China
- Prior art keywords
- data
- infected
- basic block
- program
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及计算机安全漏洞的攻击检测方法。该检测系统由虚拟执行部件,数据标记部件,数据追踪部件,误用检测部件和漏洞分析部件组成。该方法是:由虚拟执行部件启动被监控程序,当有外部输入数据时,数据标记部件生成感染数据结构,由数据追踪部件标记传播的被感染数据,误用检测部件判断被感染数据的使用是否违反安全规则与配置,最后漏洞分析部件收集并分析与安全漏洞相关的信息。本发明适用于程序运行时的安全漏洞恶意攻击检测与分析,由此阻止恶意攻击行为,并提供安全漏洞的详细信息。具有不需要源代码的特点,能够检测出绝大部分溢出安全漏洞,误报率为零,并能为安全漏洞的自动化补丁生成提供充足的信息。
Description
技术领域
本发明涉及基于数据流分析的恶意攻击检测方法,属于系统安全和网络安全相关领域。本发明用于对运行时程序的动态安全漏洞检测与防护。
背景技术
目前的入侵检测方法可主要分为三类,分别是误用检测、异常检测。误用检测通过对入侵行为进行分析和表示来检测入侵,这种方法一般是将入侵行为表示为一种模式或特征,并根据已知的入侵行为和系统缺陷建立入侵模式特征库,检测时将被监测系统或用户的实际行为模式同入侵模式进行匹配,根据匹配结果来判断是否存在入侵。误用检测对已知入侵有很强的检测能力,其缺点是模式库需要不断更新,而且难以检测出未知入侵。异常检测则是对系统或用户的正常行为轮廓进行分析和表示,当被监测系统或用户的实际行为与其正常行为存在一定差异时,即认为有入侵存在。异常检测的优点是不需要过多有关系统缺陷的知识,具有较强的适应性,能够检测出未知入侵或新出现的入侵模式,但是这种方法存在误报概率高的缺点。
因此,当前迫切需要一种新的恶意攻击检测方法。该方法不需要被监控软件的源代码,能够对各种输入相关的攻击进行没有误报的检测,并且能有效检测各类未知恶意攻击行为。
发明内容
有鉴于此,本发明的目的是提供基于数据流的恶意攻击检测方法。该方法基于对攻击者行为的监控,攻击者要想非法改变程序的执行,必须使某个从正常渠道输入的变量值变为自己的输入。本发明方法关注程序外部输入的数据流,任何外部输入数据都将成为防备的对象。并通过分析、跟踪、检测这些数据的使用,在它们不安全使用时做出正确的判断。而且该方法在宏观上不会打断程序的正常运行,并且在程序代码执行过程中进行指令级监控,不需要程序源文件或是对程序反汇编,也不需要储备和更新规则库并能检测出已知和未知的攻击。
为了达到上述目的,本发明提供了一种基于数据流的恶意攻击检测方法,其特征在于:该方法包括了下述组成部件:
虚拟执行部件:采用反汇编模块生成目标二进制程序汇编指令流,当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。然后,虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。
数据标记部件:将任何来自不安全源头的输入数据标记为被感染数据。默认认为来自网络套接字的输入是不安全的,因为对大多数程序来讲网络是最有可能导致攻击的因素。作为扩展,也可以将其它不安全的源头输入标记为被感染数据,如从某些文件或是输入设备输入的数据。
数据追踪部件:在作好感染数据标记工作后,需要将对感染数据的传播进行跟踪,因为受感染数据在被正当使用时,可能造成其他内存的数据也成为感染数据。在此,将追踪因数据移动指令和算术指令导致的数据移动行为和被感染数据。
误用检测部件:正确的标记感染数据,并实时的跟踪感染数据的传播,就能对攻击行为进行检测。检查被感染数据是否如规则所定义的被非法使用。默认规则包含对格式化字符串攻击、改变跳转对象攻击(如返回地址、函数指针、函数指针偏移)的检测。当检测到被感染数据被非法使用,提示可能有攻击发生,并调用漏洞分析部件进一步分析。
漏洞分析部件:感染数据标记和感染数据追踪两个步骤记录的信息展示了感染数据进入系统入口到它如何被非法使用的相关执行路径。通过被感染数据结构跟踪链,可以提供许多信息,包括原始感染数据的输入缓冲区,感染数据被使用时的程序计数器和调用堆栈,实际溢出地点。可以使用这些信息快速分析程序安全漏洞的真实地址和安全漏洞类型。
为了达到上述目的,本发明还提供了一种基于数据流的恶意攻击检测方法,其特征在于:该方法包括了下述操作步骤:
步骤(1),虚拟执行部件启动被监控程序;
步骤(2),当接收到外部输入的数据时,数据标记部件标记数据来源,生成感染数据结构;
步骤(3),数据追踪部件标记传播的被感染数据;
步骤(4),误用检测部件判断被感染数据的使用是否违反安全规则与配置;
步骤(5),若存在攻击,则报警,提示攻击;
步骤(6),漏洞分析部件收集并分析与安全漏洞相关的信息。
总之,本发明方法的优点简述如下:该方法不需要被监控软件的源代码,能够对各种输入相关的攻击进行没有误报的检测,并且能有效检测各类未知恶意攻击行为。
附图说明
图1是本发明用于基于数据流分析的恶意攻击检测方法的流程图。
图2是本发明用于基于数据流分析的恶意攻击检测方法的总体结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,虚拟执行部件加载被监控程序,在掌握目标二进制程序的控制权后,获取目标程序的代码流。利用反汇编模块得到目标代码流的汇编指令,通过对这些指令的分析得到基本块。基本块是不包含控制流转移指令的指令序列,然后分别指令每个基本块的各条指令。
当目标程序接收到外界的输入数据时,数据标记部件将输入的数据作为被感染的数据记录。在随后的指令执行过程中,所有对已被感染数据的操作都将被监视,并且数据追踪部件将所有导致感染数据转移或影响的行为记录下来,同时标记新的被感染的数据。误用检测部件分析被感染数据的各种使用情况,确保被感染数据的使用没有违反指定的安全规则,否则将记录该恶意攻击行为,并报警。
漏洞分析部件根据被感染数据结构跟踪链提供的信息,包括原始的感染数据的输入缓冲区,感染数据被使用时的程序计数器和调用堆栈,溢出的实际地点。快速分析得到程序的安全漏洞的准确地址和恶意攻击类型。
图2为基于数据流分析的恶意攻击检测方法的总体结构框架。下面将结合附图2,具体介绍本发明的各个组成部件:
虚拟执行部件
所述虚拟执行部件的结构组成包括:反汇编模块,基本块生成模块,基本块缓存模块,基本块预处理模块和虚拟执行模块。反汇编模块将目标二进制代码流转换成汇编指令。基本块生成模块调用反汇编部件,对获取的二进制代码流进行分析,当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束,生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。生成的基本块经过执行预处理后,存放在基本块缓存内。只有存在于基本块缓存内的代码指令才能执行,原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能,采用了基本块结合技术和标准代码忽略技术,以此减小运行时的延迟。最后,虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。
反汇编模块
反汇编部件分析虚拟执行系统获取目标二进制程序的代码流,生成对应的每一条汇编指令,逐条分析得到的汇编指令。当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。反汇编部件用于动态构建与目标代码流相一致的虚拟执行基本块。
代码切片虚拟执行部件将目标代码流分解成多个指令集,以模拟代码流正常执行的方式执行基本块中的指令。这个过程称之为局部执行,而指令集被称为基本块。一个基本块是没有包含分支的指令序列,在满足以下条件发生时结束代码流切片:
(1)无条件控制转移指令;
(2)条件控制转移指令;
(3)规定数量的非控制转移指令。
基本块生成模块
虚拟执行监控部件在目标代码流上采用特殊体系的反汇编部件,每次分析一条指令,并创建相应的基本块。
每个基本块以系统指定的特殊指令集结束,称为基本块结束标志,然后由它将控制权转移到虚拟执行监控部件。基本块结束标志确保被分析的目标代码流始终处于虚拟执行系统的控制之下。当一个基本块执行时,通过基本块的结束标志在其执行完时获得控制权,决定创建新基本块的目标内存起始地址,动态创建一个相应的新基本块,并重新执行新建的基本块。在没有虚拟执行系统的控制下,目标代码流的执行将按照其原始正常的执行方式运行。
基本块生成模块针对控制流转换指令采取了特殊处理,以支持自变异/自校验代码和其它任何形式的迷惑代码。它不必重编译目标代码指令流就能很好的工作,完全支持在用户和内核模式下的多线程监控,允许根据需要调节细粒度分析级别。
基本块结束标志是虚拟执行系统终止每个基本块的特殊代码结构,它可被抽象成仅有一个参数的函数。该参数是指向基本块结束标志的索引,它允许虚拟执行系统获取监控代码流的运行时信息,包含创建新块需要的目标代码地址。一个基本块结束标志替换终止基本块控制流的条件或非条件转换指令。在某些情况下,由于达到预定的非控制流转换指令数,终止创建基本块。
数据标记部件
将任何来自不安全源头的输入数据标记为被感染数据。默认认为来自网络套接字的输入是不安全的,因为对大多数程序来讲网络是最有可能导致攻击的因素。作为扩展,也可以将其它不安全的源头输入标记为被感染数据,如从某些文件或是输入设备输入的数据。采用影子内存技术对感染数据进行标记。影子内存技术就是一个内存地址到另一个内存地址的映射,也就是使用另一个内存地址来标记感染数据的内存地址,而这两个内存地址是一一对应的。寄存器、堆栈都有对应的4字节影子内存,如果该地址是感染的话,那么影子内存将存放一个感染数据结构的指针;如果该地址未被感染,那么影子内存将是空指针。我们使用类似页表的结构来保证影子内存不会占用多大空间。这里我们有提到了感染数据结构,这不是感染数据本身,而是用于记录感染数据相关情况的一个结构体。根据我们的规则,我们将检查每个系统调用的参数和结果,也检查被系统调用覆盖的内存是否应该被标记为感染。当内存被感染,我们就生成一个感染数据结构,可以记录下系统调用数目、当前堆栈的映射、和被覆盖数据的副本。而影子内存的地址将保存该结构体的指针。这个结构体保存的信息以后可以用于溢出分析、特征码生成等。如果只是简单的标记,我们可以不用生成这个感染数据结构,影子内存可以简单的存储一位信息来记录对应的内存是否感染即可。
数据追踪部件
在做好感染数据标记工作后,需要将对感染数据的传播进行跟踪,因为受感染数据在被正当使用时,可能造成其他内存的数据也成为感染数据。在此,将追踪因数据移动指令和算术指令导致的数据移动行为和被感染数据。所述数据追踪部件的追踪指令类型包括:数据移动指令和算术指令。对于数据移动指令,源数据是被感染的,目的数据也是被感染的;对于算术指令,任何操作数被感染,其结果也是被感染的。虽然算术指令会影响处理器的条件标志位,但不跟踪标志位是否被感染,因为不安全数据影响这些标志位是很正常的。注意到对于数据移动指令和算术指令来说,代码上的立即数不会认为是感染数据,因为它们要么来自源程序,要么来自编译器,而不是外部输入。
为了跟踪被感染数据的传播,我们在每个数据移动指令或是算术指令执行前作监控,当指令的结果被其中一个操作数感染后,我们会把结果的影子内存设置为一个指针,指向源被感染操作数指向的数据结构。更佳的,我们可以新建一个被感染数据结构,记录下相关的指令信息,并且指向先前的被感染数据结构。当检测出一个攻击,我们可以根据这个被感染数据结构链来检查被感染数据是如何在内存中传播的。当然,我们也可以简单的在结果的影子内存标记下是否感染即可,这对于攻击的检测没有任何影响,但这将不能为溢出分析提供更多有用的信息。
误用检测部件
正确的标记感染数据,并实时的跟踪感染数据的传播,就能对攻击行为进行检测。检查被感染数据是否如规则所定义的被非法使用。默认规则包含对格式化字符串攻击、改变跳转对象攻击(如返回地址、函数指针、函数指针偏移)的检测。当检测到被感染数据被非法使用,提示可能有攻击发生,并调用漏洞分析部件进一步分析。所述误用检测部件的检测对象包括:跳转地址、格式化字符串使用、系统调用参数等。默认将检查被感染数据是否用于跳转对象,如返回地址、函数指针、函数指针偏移。攻击者试图覆盖这些对象,使程序控制流要么转向攻击者的代码,要么转到程序的另一个地方。在每个控制流转移指令执行前进行监控,保证跳转对象不是感染数据所在的内存地址。默认也检测感染数据是否用于标准函数的格式化字符串参数。攻击者提供恶意的格式化字符串使程序泄露数据,或者让攻击者在选定的内存写入选定的值。可以检测被感染数据在任何时候用于格式化字符串,甚至不包含恶意格式化的情形,这样可以发现先前没有注意到的格式字符串化漏洞。同时,可以检测特殊系统调用的指定参数是否被感染,这可以用于检测某类攻击,被覆盖的数据以后用于系统调用的参数。
漏洞分析部件
当检测出被感染数据被非法使用时,可以进一步分析,并提供有用的信息如溢出是如何发生的、这个溢出的目的是什么。这些功能对于鉴别程序漏洞或是生成特征码都是非常有用的。感染数据标记和感染数据追踪两个步骤记录的信息展示了感染数据进入系统入口到它如何被非法使用的相关执行路径。通过被感染数据结构跟踪链,可以提供许多信息,包括原始感染数据的输入缓冲区,感染数据被使用时的程序计数器和调用堆栈,实际溢出地点。可以使用这些信息快速分析程序安全漏洞的真实地址和安全漏洞类型。还可以选择性的允许一个攻击继续运行在一个受限制的环境中,这可用于收集蠕虫的其它样本,对于生成该蠕虫的特征码更为有利。提供该攻击样本的语义信息,用于更精确的自动生成攻击特征码,并且比纯粹的基于内容的攻击分析使用更少的样本。
Claims (5)
1.基于数据流分析的恶意攻击检测方法,其特征在于包括如下组成部件:
虚拟执行部件:采用反汇编模块生成目标程序汇编指令流,当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。然后,虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。
数据标记部件:将任何来自不安全源头的输入数据标记为被感染数据。默认认为来自网络套接字的输入是不安全的,因为对大多数程序来讲网络是最有可能导致攻击的因素。作为扩展,也可以将其它不安全的源头输入标记为被感染数据,如从某些文件或是输入设备输入的数据。
数据追踪部件:在作好感染数据标记工作后,需要将对感染数据的传播进行跟踪,因为受感染数据在被正当使用时,可能造成其他内存的数据也成为感染数据。在此,将追踪因数据移动指令和算术指令导致的数据移动行为和被感染数据。
误用检测部件:正确的标记感染数据,并实时的跟踪感染数据的传播,就能对攻击行为进行检测。检查被感染数据是否如规则所定义的被非法使用。默认规则包含对格式化字符串攻击、改变跳转对象攻击(如返回地址、函数指针、函数指针偏移)的检测。当检测到被感染数据被非法使用,提示可能有攻击发生,并调用漏洞分析部件进一步分析。
漏洞分析部件:感染数据标记和感染数据追踪两个步骤记录的信息展示了感染数据进入系统入口到它如何被非法使用的相关执行路径。通过被感染数据结构跟踪链,可以提供许多信息,包括原始感染数据的输入缓冲区,感染数据被使用时的程序计数器和调用堆栈,实际溢出地点。可以使用这些信息快速分析程序安全漏洞的真实地址和安全漏洞类型。
2.根据权利要求1所述的基于数据流分析的恶意攻击检测方法,其特征在于:所述虚拟执行部件的结构组成包括:反汇编模块,基本块生成模块,基本块缓存模块,基本块预处理模块和虚拟执行模块。反汇编模块将目标二进制代码流转换成汇编指令。基本块生成模块调用反汇编部件,对获取的二进制代码流进行分析,生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。生成的基本块经过执行预处理后,存放在基本块缓存内。只有存在于基本块缓存内的代码指令才能执行,原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能,采用了基本块结合技术和标准代码忽略技术,以此减小运行时的延迟。
3.根据权利要求1所述的基于数据流分析的恶意攻击检测方法,其特征在于:所述数据追踪部件的追踪指令类型包括:数据移动指令和数据算术指令。对于数据移动指令,源数据是被感染的,目的数据也是被感染的;对于算术指令,任何操作数被感染,其结果也是被感染的。虽然算术指令会影响处理器的条件标志位,但不跟踪标志位是否被感染,因为不安全数据影响这些标志位是很正常的。注意到对于数据移动指令和算术指令来说,代码上的立即数不会认为是感染数据,因为它们要么来自源程序,要么来自编译器,而不是外部输入。
4.根据权利要求1所述的基于数据流分析的恶意攻击检测方法,其特征在于:所述误用检测部件的检测对象包括:跳转地址、格式化字符串使用、系统调用参数等。默认将检查被感染数据是否用于跳转对象,如返回地址、函数指针、函数指针偏移。攻击者试图覆盖这些对象,使程序控制流要么转向攻击者的代码,要么转到程序的另一个地方。在每个控制流转移指令执行前进行监控,保证跳转对象不是感染数据所在的内存地址。默认也检测感染数据是否用于标准函数的格式化字符串参数。攻击者提供恶意的格式化字符串使程序泄露数据,或者让攻击者在选定的内存写入选定的值。可以检测被感染数据在任何时候用于格式化字符串,甚至不包含恶意格式化的情形,这样可以发现先前没有注意到的格式字符串化漏洞。同时,可以检测特殊系统调用的指定参数是否被感染,这可以用于检测某类攻击,被覆盖的数据以后用于系统调用的参数。
5.根据权利要求1所述基于数据流分析的恶意攻击检测方法,其特征在于:
步骤(1),虚拟执行部件启动被监控程序;
步骤(2),当接收到外部输入的数据时,数据标记部件标记数据来源,生成感染数据结构;
步骤(3),数据追踪部件标记传播的被感染数据;
步骤(4),误用检测部件判断被感染数据的使用是否违反安全规则与配置;
步骤(5),若存在攻击,则报警,提示攻击;
步骤(6),漏洞分析部件收集并分析与安全漏洞相关的信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007100497531A CN101159732A (zh) | 2007-08-14 | 2007-08-14 | 基于数据流分析的恶意攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007100497531A CN101159732A (zh) | 2007-08-14 | 2007-08-14 | 基于数据流分析的恶意攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101159732A true CN101159732A (zh) | 2008-04-09 |
Family
ID=39307651
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007100497531A Pending CN101159732A (zh) | 2007-08-14 | 2007-08-14 | 基于数据流分析的恶意攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101159732A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848092A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 恶意代码检测方法和装置 |
CN101964036A (zh) * | 2010-10-29 | 2011-02-02 | 北京椒图科技有限公司 | 漏洞检测方法及装置 |
CN101286979B (zh) * | 2008-06-03 | 2011-02-09 | 电子科技大学 | 一种网络攻击检测方法 |
CN102034045A (zh) * | 2010-12-15 | 2011-04-27 | 上海交通大学 | 低计算机系统资源开销的软件漏洞检测系统 |
CN101616151B (zh) * | 2009-07-31 | 2012-11-07 | 中国科学院软件研究所 | 一种自动化的网络攻击特征生成方法 |
US8695098B2 (en) | 2011-06-30 | 2014-04-08 | International Business Machines Corporation | Detecting security vulnerabilities in web applications |
CN103810014A (zh) * | 2012-11-12 | 2014-05-21 | 安捷伦科技有限公司 | 强加语言子集的方法 |
CN105138903A (zh) * | 2015-08-14 | 2015-12-09 | 电子科技大学 | 一种基于ret指令与jmp指令的rop攻击检测方法 |
CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
CN109165507A (zh) * | 2018-07-09 | 2019-01-08 | 深圳开源互联网安全技术有限公司 | 跨站脚本攻击漏洞检测方法、装置及终端设备 |
CN107798241B (zh) * | 2016-09-07 | 2020-01-31 | 龙芯中科技术有限公司 | 攻击检测装置、系统及方法 |
CN111277555A (zh) * | 2018-12-05 | 2020-06-12 | 中国移动通信集团河南有限公司 | 漏洞误报筛选方法及装置 |
CN111651773A (zh) * | 2020-08-05 | 2020-09-11 | 成都无糖信息技术有限公司 | 一种二进制安全漏洞自动化挖掘方法 |
CN112579169A (zh) * | 2019-09-27 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 处理器追踪流的生成方法及装置 |
CN113569244A (zh) * | 2021-09-18 | 2021-10-29 | 成都数默科技有限公司 | 一种基于处理器跟踪的内存恶意代码检测方法 |
CN115277062A (zh) * | 2022-06-13 | 2022-11-01 | 深圳开源互联网安全技术有限公司 | 一种恶意攻击拦截方法、装置、设备及可读存储介质 |
CN116881924A (zh) * | 2023-07-13 | 2023-10-13 | 广州筑粒信息科技有限公司 | 一种基于数据监控的软件漏洞追踪方法及系统 |
-
2007
- 2007-08-14 CN CNA2007100497531A patent/CN101159732A/zh active Pending
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286979B (zh) * | 2008-06-03 | 2011-02-09 | 电子科技大学 | 一种网络攻击检测方法 |
CN101848092A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 恶意代码检测方法和装置 |
CN101616151B (zh) * | 2009-07-31 | 2012-11-07 | 中国科学院软件研究所 | 一种自动化的网络攻击特征生成方法 |
CN101964036A (zh) * | 2010-10-29 | 2011-02-02 | 北京椒图科技有限公司 | 漏洞检测方法及装置 |
CN101964036B (zh) * | 2010-10-29 | 2013-01-16 | 深圳市安盾椒图科技有限公司 | 漏洞检测方法及装置 |
CN102034045A (zh) * | 2010-12-15 | 2011-04-27 | 上海交通大学 | 低计算机系统资源开销的软件漏洞检测系统 |
CN102034045B (zh) * | 2010-12-15 | 2012-11-28 | 上海交通大学 | 低计算机系统资源开销的软件漏洞检测系统 |
US8984642B2 (en) | 2011-06-30 | 2015-03-17 | International Business Machines Corporation | Detecting security vulnerabilities in web applications |
US8695098B2 (en) | 2011-06-30 | 2014-04-08 | International Business Machines Corporation | Detecting security vulnerabilities in web applications |
CN103810014A (zh) * | 2012-11-12 | 2014-05-21 | 安捷伦科技有限公司 | 强加语言子集的方法 |
CN103810014B (zh) * | 2012-11-12 | 2019-03-08 | 是德科技股份有限公司 | 强加语言子集的方法 |
CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
CN106576099B (zh) * | 2014-08-04 | 2019-10-11 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
CN105138903A (zh) * | 2015-08-14 | 2015-12-09 | 电子科技大学 | 一种基于ret指令与jmp指令的rop攻击检测方法 |
CN105138903B (zh) * | 2015-08-14 | 2018-07-10 | 电子科技大学 | 一种基于ret指令与jmp指令的rop攻击检测方法 |
CN107798241B (zh) * | 2016-09-07 | 2020-01-31 | 龙芯中科技术有限公司 | 攻击检测装置、系统及方法 |
CN108509798A (zh) * | 2018-03-31 | 2018-09-07 | 河南牧业经济学院 | 一种计算机软件分析系统 |
CN109165507A (zh) * | 2018-07-09 | 2019-01-08 | 深圳开源互联网安全技术有限公司 | 跨站脚本攻击漏洞检测方法、装置及终端设备 |
CN111277555A (zh) * | 2018-12-05 | 2020-06-12 | 中国移动通信集团河南有限公司 | 漏洞误报筛选方法及装置 |
CN111277555B (zh) * | 2018-12-05 | 2022-03-11 | 中国移动通信集团河南有限公司 | 漏洞误报筛选方法及装置 |
CN112579169A (zh) * | 2019-09-27 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 处理器追踪流的生成方法及装置 |
CN112579169B (zh) * | 2019-09-27 | 2024-04-09 | 阿里巴巴集团控股有限公司 | 处理器追踪流的生成方法及装置 |
CN111651773A (zh) * | 2020-08-05 | 2020-09-11 | 成都无糖信息技术有限公司 | 一种二进制安全漏洞自动化挖掘方法 |
CN113569244A (zh) * | 2021-09-18 | 2021-10-29 | 成都数默科技有限公司 | 一种基于处理器跟踪的内存恶意代码检测方法 |
CN113569244B (zh) * | 2021-09-18 | 2021-12-03 | 成都数默科技有限公司 | 一种基于处理器跟踪的内存恶意代码检测方法 |
CN115277062A (zh) * | 2022-06-13 | 2022-11-01 | 深圳开源互联网安全技术有限公司 | 一种恶意攻击拦截方法、装置、设备及可读存储介质 |
CN116881924A (zh) * | 2023-07-13 | 2023-10-13 | 广州筑粒信息科技有限公司 | 一种基于数据监控的软件漏洞追踪方法及系统 |
CN116881924B (zh) * | 2023-07-13 | 2024-03-29 | 广州筑粒信息科技有限公司 | 一种基于数据监控的软件漏洞追踪方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101159732A (zh) | 基于数据流分析的恶意攻击检测方法 | |
CN109002721B (zh) | 一种信息安全漏洞的挖掘分析方法 | |
KR102306568B1 (ko) | 컴퓨터 시스템의 제어 흐름 무결성의 프로세서 트레이스 기반 집행 | |
US9003384B2 (en) | Methods and apparatuses for automatic type checking via poisoned pointers | |
US11108817B2 (en) | SQL injection interception detection method and device, apparatus and computer readable medium | |
CN110443045B (zh) | 一种基于机器学习方法的模糊测试用例生成方法 | |
CN101154257A (zh) | 基于漏洞特征的动态执行补丁方法 | |
CN101673326A (zh) | 基于程序执行特征的网页木马检测方法 | |
CN102012988B (zh) | 自动二进制恶意代码行为分析方法 | |
Gauthier et al. | AFFOGATO: runtime detection of injection attacks for node. js | |
CN102073825B (zh) | 基于路径驱动的可执行程序安全性检测方法 | |
CN102184360B (zh) | 一种适用于嵌入式处理器的信息流安全监控方法 | |
CN101719204B (zh) | 基于中间指令动态插装的Heapspray型网页木马的检测方法 | |
CN107103237A (zh) | 一种恶意文件的检测方法及装置 | |
Zhu et al. | Shadowblock: A lightweight and stealthy adblocking browser | |
EP3087527B1 (en) | System and method of detecting malicious multimedia files | |
Lee et al. | binOb+ a framework for potent and stealthy binary obfuscation | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
Wang et al. | Tunter: assessing exploitability of vulnerabilities with taint-guided exploitable states exploration | |
CN107085687A (zh) | 基于二进制熵的模糊测试加解密函数定位方法 | |
Tian et al. | FrameHanger: Evaluating and classifying iframe injection at large scale | |
RU168346U1 (ru) | Устройство выявления уязвимостей | |
Zheng et al. | Research and implementation of web application system vulnerability location technology | |
Wang et al. | Locality Based Cache Side-channel Attack Detection∗ | |
Dai et al. | A Review of Researching on Dynamic Taint Analysis Technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080409 |