CN102073818A - 一种漏洞检测设备和方法 - Google Patents
一种漏洞检测设备和方法 Download PDFInfo
- Publication number
- CN102073818A CN102073818A CN2011100089810A CN201110008981A CN102073818A CN 102073818 A CN102073818 A CN 102073818A CN 2011100089810 A CN2011100089810 A CN 2011100089810A CN 201110008981 A CN201110008981 A CN 201110008981A CN 102073818 A CN102073818 A CN 102073818A
- Authority
- CN
- China
- Prior art keywords
- dep
- leak
- monitoring
- closing
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明公开了一种漏洞检测方法,用于对启用了数据执行保护(DEP)的系统进行漏洞检测,该方法包括步骤:检测针对DEP的操作;以及当检测到关闭DEP的操作时,则认为系统中发生利用漏洞的行为。本发明还公开了相应的漏洞检测设备。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及基于数据执行保护(DEP)的漏洞检测设备和方法。
背景技术
随着计算机网络的发展,网络应用变得越来越普及。由于网络应用所在的网络服务器的操作系统和应用层软件不可避免地存在有漏洞,黑客们可以通过利用这些漏洞来非法入侵这些网络服务器,从而给网络应用,尤其是给使用这些网络应用的用户的财产带来了极大的威胁。
利用漏洞的过程一般包括两个部分:触发漏洞和执行shellcode。首先,黑客会去触发目标机器上的漏洞,随后通过在触发漏洞之后执行shellcode来成功入侵目标机器。shellcode是在利用漏洞的过程中所使用的一小段代码,由于通常该代码会启动一个命令行控制台,以便黑客可以利用该控制台来控制被入侵的机器,因此,该段代码在网络安全领域被称为shellcode。而一个典型的利用漏洞的过程如下:首先,利用目标机器上某个进程中的漏洞获得对指令寄存器的控制,并同时或者之前就将shellcode插入到该进程中,随后将指令寄存器调整为指向shellcode,从而执行该shellcode以便成功入侵目标机器。
由于触发漏洞的方式会随具体漏洞而不同,所以对触发漏洞的行为进行检测也需要针对不同漏洞来进行不同的处理。由此导致,在目前为止,还没有一种统一的方式来对目标机器上利用漏洞的非法操作进行监测。
由于采用微软视窗操作系统的设备(例如网络服务器和客户机等)日益增多,如何对这些设备上利用漏洞的非法操作进行监测成为了日益重要的问题。
现在的微软视窗操作系统中采用了一种称为数据执行保护(DEP)的软硬件结合的安全技术来防止驻留在操作系统上的应用或者服务从不可执行的内存区域执行代码。在多数采用微软视窗操作系统的网络设备中,已经启用了数据执行保护(DEP)来加强系统安全。
然而,在现有采用微软视窗操作系统的设备中,还没有一种可以全面而高效地对这些设备中利用漏洞的非法操作进行监测的方法和设备。
为此,需要一种新的漏洞监测设备和方法,其可以以一种统一、全面且高效的方式来对这些利用漏洞的非法操作进行监测。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的漏洞检测设备和方法。
申请人注意到,在采用微软视窗操作系统并且启用了数据执行保护(DEP)的设备中,在利用漏洞的过程中shellcode通常都位于被标记为不可执行的数据区中,直接执行shellcode的行为将触发异常,最终导致shellcode执行失败。这使得如果要正常执行shellcode就必须对DEP进行关闭或者绕过操作。如果可以对关闭DEP的操作进行监测,就可以检测到在这些设备中利用漏洞的异常行为,本发明基于此而做出。
根据本发明的一个方面,提供了一种漏洞监测方法,用于对启用了数据执行保护(DEP)的系统进行漏洞监测,该方法包括步骤:监测针对数据执行保护(DEP)的操作;以及当检测到关闭数据执行保护(DEP)的操作时,则认为该系统中发生利用漏洞的行为。
可选地,监测针对所述数据执行保护(DEP)的操作包括对系统中关闭数据执行保护所必需的一个或者多个函数中的任一个进行监测。另外,这些函数可以是NtSetInformationProcess()和NtSetSystemInformation() 中的任何一个或者二者。由于关闭DEP的操作一般需要调用NtSetInformationProcess()和NtSetSystemInformation()等函数的某个功能号来实现,因此通过对这些函数调用进行监测,就可以达到监测企图执行shellcode行为的目的。
另外,对系统中关闭所述数据执行保护所必需的一个或者多个函数中的任一个进行监测可以利用钩子(hook)技术来处理。Hook是在视窗操作系统的消息处理机制中的一个点,在该点处,可以插入一些子例程来监控消息或者在消息到达目的应用之前对其进行修改。利用hook的技术一般称为hook技术,其是安全软件中普遍使用的技术,hook技术通过修改软件代码的执行流程可以实现对代码的审计和访问控制等功能。在视窗操作系统中,利用hook技术可以实现对特定函数的监控。
根据本发明的另一个方面,提供了一种漏洞监测设备,用于对启用了数据执行保护(DEP)的系统进行漏洞监测,该设备包括:监测单元,适于监测针对数据执行保护(DEP)的操作;以及判断单元,适于在所述监测单元检测到关闭所述数据执行保护(DEP)的操作时,断定所述系统中发生利用漏洞的行为。
根据本发明的漏洞监测方法和设备考虑到在启用了DEP的系统中,利用系统存在的漏洞的非法操作通常需要在执行shellcode之前关闭DEP,因此通过对针对DEP的操作进行监测,可以高效地监测这些非法操作,并且提供了一种监测这些非法操作的统一方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性地示出了根据本发明一个实施例的漏洞监测方法的流程图;以及
图2示意性地示出了根据本发明一个实施例的漏洞检测设备的框图。
具体实施方式
下面结合附图和具体的实施方式对本发明作进一步的描述。
图1示出了根据本发明一个实施例的漏洞监测方法100的流程图。该漏洞监测方法100适于对采用了启用数据执行保护(DEP)的系统的设备进行漏洞监测。而启用了DEP的系统通常为微软视窗操作系统。如图1所示,该方法始于步骤S110,其中对该系统中所有针对DEP的操作进行监控。如上所述,在启用了DEP的系统中,利用漏洞的恶意行为为了能够执行shellcode,必须关闭DEP,因此通过监测针对DEP的操作,可以及时发现这些恶意行为。
可选地,在微软视窗操作系统中,针对DEP的操作,尤其是关闭DEP的操作,必然涉及到一个或者多个系统函数。为此,监测操作可以包括对关闭DEP所必需的一个或者多个函数的至少一个进行监测。例如,这些函数可以是NtSetInformationProcess()和NtSetSystemInformation()。当然,随着视窗操作系统的发展,这些函数可能不局限于上述具体函数。所以在关闭DEP中涉及的函数都在本发明的保护范围之内。
可选地,在视窗操作系统中,为了对函数进行监控,可以采用钩子(hook)技术,即在操作系统的消息处理机制中的某个点进行监控,以监控针对这些函数的调用以及调用所涉及的消息内容。具体而言,根据本发明的一个实施例,可以在操作系统的内核中加载一个模块,该模块对SSDT(系统服务描述表)中的函数NtSetInformationProcess()和/或NtSetSystemInformation(),尤其是这些函数中的相关功能号进行了hook,如果有调用这些函数的行为,就对调用这些函数的参数进行分析以确定是否是关闭DEP的行为。
随后,在步骤S120中,当在步骤S110中检测到关闭DEP的操作时,则认为目标系统中发生利用漏洞的行为。可选地,在步骤S130中,以各种方式将所检测到的利用漏洞的行为告知系统管理员,这例如包括以日志方式记录该行为、发警告通知系统管理员等。应当注意的是,其他任何可以在目标系统中采用来记录和/或通知系统管理员有关利用漏洞行为的方式都在本发明的保护范围之内。
根据本发明的漏洞监测方法通过对关闭DEP的操作进行监控,从而可以有效地检测到目标系统中利用系统漏洞进行操作的行为。
图2示意性地示出了根据本发明一个实施例的漏洞检测设备200的框图。该漏洞监测设备200适于对采用了启用数据执行保护(DEP)的系统的设备进行漏洞监测。如图2所示,该漏洞检测设备200包括监测单元210和判断单元220。
监测单元210适于监测针对DEP的操作。如上所述,在启用了DEP的系统中,利用漏洞的恶意行为为了能够执行shellcode,必须关闭DEP,因此监测单元210通过监测针对DEP的操作,可以及时发现这些恶意行为。
可选地,在微软视窗操作系统中,针对DEP的操作,尤其是关闭DEP的操作,必然涉及到一个或者多个系统函数。为此,监测单元210可以对关闭DEP所必需的一个或者多个函数的至少一个进行监测。例如,这些函数可以是NtSetInformationProcess()和NtSetSystemInformation()。当然,随着视窗操作系统的发展,这些函数可能不局限于上述具体函数。所有在关闭DEP中涉及的函数都在本发明的保护范围之内。
可选地,在视窗操作系统中,为了对函数进行监控,可以采用钩子(hook)技术,即在操作系统的消息处理机制中的某个点进行监控,以监控针对这些函数的调用以及调用所涉及的消息内容。具体而言,根据本发明的一个实施例,监测单元210可以包括在操作系统的内核中加载的模块,该模块对SSDT(系统服务描述表)中的函数NtSetInformationProcess()和/或NtSetSystemInformation(),尤其是这些函数中的相关功能号进行hook,如果有调用这些函数的行为,就对调用这些函数的参数进行分析以确定是否是关闭DEP的行为。一般而言,监测单元210可以执行上述监测方法中的步骤S110。
判断单元220对监测单元210所监测到的操作进行分析,在监测单元210检测到关闭DEP的操作时,判断单元220就断定目标系统中发生利用漏洞的行为,可选地,判断单元220将该判断结果发送给告警单元230,以便由告警单元230以各种方式将所检测到的利用漏洞的行为告知系统管理员,这例如包括以日志方式记录该行为、发警告通知系统管理员等。应当注意的是,其他任何可以在目标系统中采用来记录和/或通知系统管理员有关利用漏洞行为的方式都在本发明的保护范围之内。一般而言,判断单元220可以执行上述监测方法中的步骤S120,以及告警单元230可以执行上述监测方法中的步骤S130。
根据本发明的漏洞监测设备200通过对关闭DEP的操作进行监控,从而可以有效地检测到目标系统中利用系统漏洞进行操作的行为。
应当注意的是,在本发明的漏洞监测设备200的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的解码设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种漏洞监测方法,用于对启用了数据执行保护(DEP)的系统进行漏洞监测,该方法包括步骤:
监测针对所述数据执行保护(DEP)的操作;以及
当检测到关闭所述数据执行保护(DEP)的操作时,则认为所述系统中发生利用漏洞的行为。
2.如权利要求1所述的漏洞监测方法,其中所述监测针对所述数据执行保护(DEP)的操作包括:
对所述系统中关闭所述数据执行保护所必需的一个或者多个函数中的至少一个进行监测。
3.如权利要求2所述的漏洞监测方法,其中所述关闭所述数据执行保护所必需的一个或者多个函数包括NtSetInformationProcess()和NtSetSystemInformation()。
4.如权利要求2或者3所述的漏洞监测方法,其中所述监测针对所述数据执行保护(DEP)的操作包括:
对所述系统中关闭所述数据执行保护所必需的一个或者多个函数中的任一个进行钩子(hook)处理。
5.如权利要求1-4中任一个所述的漏洞监测方法,还包括步骤:
在认为所述系统发生利用漏洞的行为时,记录有关该行为的日志或者发警告通知系统管理员有关该行为的消息。
6.一种漏洞监测设备,用于对启用了数据执行保护(DEP)的系统进行漏洞监测,该设备包括:
监测单元,适于监测针对所述数据执行保护(DEP)的操作;以及
判断单元,适于在所述监测单元检测到关闭所述数据执行保护(DEP)的操作时,断定所述系统中发生利用漏洞的行为。
7.如权利要求6所述的漏洞监测设备,其中所述监测单元适于对所述系统中关闭所述数据执行保护所必需的一个或者多个函数中的任一个进行监测。
8.如权利要求7所述的漏洞监测设备,其中所述关闭所述数据执行保护所必需的一个或者多个函数包括NtSetInformationProcess()和NtSetSystemInformation()中的任何一个或者二者。
9.如权利要求7或者8所述的漏洞监测设备,其中所述监测单元适于对所述系统中关闭所述数据执行保护所必需的一个或者多个函数中的任一个进行钩子(hook)处理。
10.如权利要求6-9中任一个所述的漏洞监测设备,还包括:
告警单元,适于在所述判断单元认为所述系统发生利用漏洞的行为时,记录有关该行为的日志或者发警告通知系统管理员有关该行为的消息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100089810A CN102073818A (zh) | 2011-01-17 | 2011-01-17 | 一种漏洞检测设备和方法 |
| PCT/CN2012/000080 WO2012097678A1 (zh) | 2011-01-17 | 2012-01-17 | 一种漏洞检测设备和方法 |
| US13/997,796 US20130326627A1 (en) | 2011-01-17 | 2012-01-17 | Apparatus and method for detecting vulnerability |
| JP2013548724A JP5711824B2 (ja) | 2011-01-17 | 2012-01-17 | 脆弱性検出装置および方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100089810A CN102073818A (zh) | 2011-01-17 | 2011-01-17 | 一种漏洞检测设备和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102073818A true CN102073818A (zh) | 2011-05-25 |
Family
ID=44032355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100089810A Pending CN102073818A (zh) | 2011-01-17 | 2011-01-17 | 一种漏洞检测设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130326627A1 (zh) |
| JP (1) | JP5711824B2 (zh) |
| CN (1) | CN102073818A (zh) |
| WO (1) | WO2012097678A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012097678A1 (zh) * | 2011-01-17 | 2012-07-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
| CN102663313A (zh) * | 2012-03-22 | 2012-09-12 | 吴晓栋 | 一种实现计算机系统信息安全的方法 |
| CN104217157A (zh) * | 2014-07-31 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9098704B2 (en) * | 2013-10-09 | 2015-08-04 | Kaspersky Lab, Zao | Method for function capture and maintaining parameter stack |
| US11316861B2 (en) * | 2019-06-27 | 2022-04-26 | AVAST Software s.r.o. | Automatic device selection for private network security |
| CN113238536B (zh) * | 2021-06-04 | 2022-03-25 | 西安热工研究院有限公司 | 一种工业控制系统网络漏洞识别方法、装置及其相关设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1869858A (zh) * | 2005-05-27 | 2006-11-29 | 佛山市顺德区顺达电脑厂有限公司 | 使用WinCE系统的装置的数据保护方法 |
| CN101071459A (zh) * | 2006-05-10 | 2007-11-14 | 乐金电子(昆山)电脑有限公司 | 计算机系统的安全防护设置方法及其设备 |
| US20090183261A1 (en) * | 2008-01-14 | 2009-07-16 | Microsoft Corporation | Malware detection with taint tracking |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6671786B2 (en) * | 2001-06-07 | 2003-12-30 | Microsoft Corporation | System and method for mirroring memory with restricted access to main physical mirrored memory |
| CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
| US7287283B1 (en) * | 2003-09-25 | 2007-10-23 | Symantec Corporation | Return-to-LIBC attack blocking system and method |
| KR100483700B1 (ko) * | 2003-12-03 | 2005-04-19 | 주식회사 잉카인터넷 | 온라인 게임 클라이언트 보안을 위한 실시간 프로세스 불법 접근 및 조작 차단 방법 |
| JP2006018765A (ja) * | 2004-07-05 | 2006-01-19 | Infocom Corp | ソフトウエアの一時的な修正方法およびプログラム |
| US20070261117A1 (en) * | 2006-04-20 | 2007-11-08 | Boney Matthew L | Method and system for detecting a compressed pestware executable object |
| JP4572259B1 (ja) * | 2009-04-27 | 2010-11-04 | 株式会社フォティーンフォティ技術研究所 | 情報機器、プログラム及び不正なプログラムコードの実行防止方法 |
| US9106697B2 (en) * | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
| US8997218B2 (en) * | 2010-12-22 | 2015-03-31 | F-Secure Corporation | Detecting a return-oriented programming exploit |
| CN102073818A (zh) * | 2011-01-17 | 2011-05-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
-
2011
- 2011-01-17 CN CN2011100089810A patent/CN102073818A/zh active Pending
-
2012
- 2012-01-17 US US13/997,796 patent/US20130326627A1/en not_active Abandoned
- 2012-01-17 JP JP2013548724A patent/JP5711824B2/ja active Active
- 2012-01-17 WO PCT/CN2012/000080 patent/WO2012097678A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1869858A (zh) * | 2005-05-27 | 2006-11-29 | 佛山市顺德区顺达电脑厂有限公司 | 使用WinCE系统的装置的数据保护方法 |
| CN101071459A (zh) * | 2006-05-10 | 2007-11-14 | 乐金电子(昆山)电脑有限公司 | 计算机系统的安全防护设置方法及其设备 |
| US20090183261A1 (en) * | 2008-01-14 | 2009-07-16 | Microsoft Corporation | Malware detection with taint tracking |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 吴优雅等: "Windows内存防护机制及其脆弱性分析", 《计算机安全》, 31 July 2009 (2009-07-31) * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012097678A1 (zh) * | 2011-01-17 | 2012-07-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞检测设备和方法 |
| CN102663313A (zh) * | 2012-03-22 | 2012-09-12 | 吴晓栋 | 一种实现计算机系统信息安全的方法 |
| CN102663313B (zh) * | 2012-03-22 | 2015-02-18 | 吴晓栋 | 一种实现计算机系统信息安全的方法 |
| CN104217157A (zh) * | 2014-07-31 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及系统 |
| CN104217157B (zh) * | 2014-07-31 | 2017-08-04 | 珠海市君天电子科技有限公司 | 一种漏洞防利用方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130326627A1 (en) | 2013-12-05 |
| JP2014505940A (ja) | 2014-03-06 |
| JP5711824B2 (ja) | 2015-05-07 |
| WO2012097678A1 (zh) | 2012-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
| EP3225009B1 (en) | Systems and methods for malicious code detection | |
| US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
| CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20120079598A1 (en) | Tiered risk model for event correlation | |
| CN102073818A (zh) | 一种漏洞检测设备和方法 | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| EP2637121A1 (en) | A method for detecting and removing malware | |
| CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
| US20190095616A1 (en) | Methods for protecting software hooks, and related computer security systems and apparatus | |
| US20210357501A1 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
| KR100733387B1 (ko) | 이상 행동 기반 유해 프로그램 검출 시스템 및 그 방법 | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| CN111625821A (zh) | 一种基于云平台的应用攻击检测系统 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| CN111542811B (zh) | 增强网络安全的监视 | |
| Pandey et al. | A lifecycle based approach for malware analysis | |
| CN102446253B (zh) | 一种网页木马检测方法及系统 | |
| KR101568872B1 (ko) | 프로그램 이상흐름 검출 장치 및 방법 | |
| KR100976961B1 (ko) | 인터넷 사이트 보안 시스템 및 그 방법 | |
| KR102393795B1 (ko) | 응용프로그램의 실행 흐름 변경을 통한 비실행 파일의 악성 탐지 방법 및 장치 | |
| KR20190020523A (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| CN1320800C (zh) | 响应入侵的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110525 |