CN103853624A - 硬件数据的监测方法及监测设备 - Google Patents
硬件数据的监测方法及监测设备 Download PDFInfo
- Publication number
- CN103853624A CN103853624A CN201210512352.6A CN201210512352A CN103853624A CN 103853624 A CN103853624 A CN 103853624A CN 201210512352 A CN201210512352 A CN 201210512352A CN 103853624 A CN103853624 A CN 103853624A
- Authority
- CN
- China
- Prior art keywords
- data
- processing unit
- information
- address
- memory address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供了对硬件数据进行监测的监测方法及监测设备。数据包括私有信息、识别信息及至少一个第一网络传输地址,监测设备由存储单元及处理单元构成。数据根据其识别信息存入存储单元,处理单元用来记录标记信息表中数据的识别信息及至少一个第一网络传输地址。在响应数据发送系统调用时,若接收数据私有信息的第二网络传输地址与至少一个第一网络传输地址不同,则处理单元输出一个终止数据发送的信号。
Description
技术领域
提交的发明涉及硬件数据监测的一个监测方法及一个监测设备,具体来说,该发明中的监测方法及监测设备可以避免包含私有信息的数据的不正当传输。背景
随着IT技术的发展,计算机及网络成为日常生活中必不可少的一部分。例如,人们已经习惯了用计算机和网络进行数据处理、信息查询,而且通过网络进行购货或退款等现象也越来越普遍。当进行网上购物等行为时,用户一般要发送一些包含帐号、密码、ID卡号等私有信息的数据到服务供应商进行在线交易。一般情况下,用户通过浏览器发送这些包含私有信息的数据到服务供应商,而黑客利用现有浏览器的漏洞窃取用户私有信息是网上交易违约事件发生的主要因素之一。
为解决这一问题,先前的方法是通过软件分析不同的恶意程序并建立相应的特征库,根据特征库检测恶意程序,进而避免恶意程序将包含用户私有信息的数据传输到黑客指定的网络地址。
由于脚本语言的特点,传统的恶意程序检测软件难以检测由脚本语言执行的恶意程序,也难以建立此类恶意软件的通用特征库。换言之,若恶意脚本是通过其它代码模式进行处理,则传统的恶意程序检测软件难以检测和分析恶意脚本。
一面是人们已经习惯了各种网络服务,另一方面是恶意程序的泛滥,因此需要解决私有信息的各种安全威胁,例如恶意程序导致的数据不正当传输。
总结
所提发明的实现目标是提供硬件数据监测的监测设备。数据包括私有信息、识别信息及最少一个第一网络传输地址。监测设备包括存储单元及处理单元,存储单元中存放标记信息表及根据识别信息存入的数据,处理单元中预存入数据识别信息及最少一个第一网络传输地址。当对访问系统调用进行响应时,处理单元根据识别信息对数据进行访问;并以传输包含私有信息的数据来响应发送系统调用。访问系统调用与识别信息相关,发送系统调用需要一个第二网络 传输地址。最后,根据识别信息及标记信息表中的至少一个第一网络传输地址,处理单元决定是否至少一个第一网络传输地址与第二网络传输地址一致,并根据匹配情况输出一个信号。
所提发明的另一个实现目标是提供一个硬件数据监测方法。数据包括私有信息、识别信息及最少一个第一网络传输地址,数据根据识别信息存入存储单元。监测方法包括以下步骤:
1)处理单元存入数据识别信息及标记信息表中的至少一个第一网络传输地址,标记信息表存在存储单元中;
2)当对访问系统调用进行响应时,处理单元根据识别信息对数据进行访问;
3)当对发送系统调用进行响应时,处理单元传输包含私有信息的数据,同时,发送系统调用有一个第二网络传输地址;
4)处理单元根据识别信息判断是否至少一个第一网络传输地址与第二网络传输地址匹配,并根据匹配情况输出一个相应的信号。
为完成上述目标,所提发明提供了一个程序存储设备,该设备是一个存储了完成监测方法代码的机器可读介质。通过将可执行代码载入监测设备并执行来完成前述的监测方法。
所提发明中的监测方法与监测设备存储了数据识别信息及标记信息表中的网络传输地址,其中,数据包含私有信息,网络传输地址是数据传输的目的地址。另外,当含有私有信息的数据进行传输时,将根据系统调用及标记信息表中的识别信息比较标记信息表中的网络传输地址及当前的数据传输目的地址。利用这种方法,所提发明可以避免恶意程序对私有信息的不正当传输产生的威胁。
所提发明的具体技术细节及实现如图所示(图1(a),图1(b)及图2)。
附图说明
图1(a)为所提发明的监测设备概要图,图1(b)为标记信息表的概要图,图2为监测方法流程图。所提发明可进行多种变形,图中是一个实现的例子,并在具体部分详细描述。当然,所提发明并不局限于所描述的具体实例,它应该包含所有所提发明的各种变形方案。
具体描述
下列描述将对所提发明的一个具体实现进行阐述。所提发明涉及到一个硬件数据的监测设备及监测方法,能够避免含有用户私有信息的数据发送到恶意程序指定的地址。要指出的是,在图中省略了一些与所提发明实现无关的元素,对图中各元素关系的描述主要为了便于理解,不能因此限制所提发明的实际应用范围。
图1(a)是所提发明中监测设备(11)的一个实例,硬件(1)包含存储单元(13)与显示单元(15)。用户可通过操作系统(在图中省略)控制硬件的各组件,操作系统可以是各种现有的系统,如windows,MAC os,Linux等,硬件(1)可是一台PC。要指出的是所提发明不会限制用户采用的操作系统及硬件,对此以后不再赘述。
监测设备(11)包含存储单元(111)以及处理单元(113);监测设备(11)通过电气连接到内存(13)及显示单元(15);存储单元(111)用来存放标记信息表(10);当用户通过浏览器及硬件(1)准备将含有私有信息的数据(2)发送到一个第一网络传输地址(20),处理单元根据路径及数据名将数据(2)存入存储单元(111)或内存(13),其中存储路径及数据名是数据(2)的识别信息(22);同时,处理单元(113)存储数据(2)的识别信息(22)及标记信息表(10)中的第一网络传输地址(20)。
例如,当用户准备通过浏览器发送含有帐号/密码等私有信息的数据(2)到网络服务提供商的第一网络地址(20)209.191.93.53,处理单元(113)根据存储路径(如:C:\Documents and Setting\user\Local Settings\Cookies\cookie:user@yahoo.com)及数据名(如:user@yahoo.com)将数据(2)存到存储单元(113)或内存(13),同时,处理单元将路径、数据名及第一网络传输地址(209.191.93.53)存入标记信息表(10)。
应当注意,所提发明并未限制标记信息表(10)中第一网络传输地址(20)的数目,换言之,用户可通过浏览器及硬件发送含有相同识别信息(22)的数据(2)到多个第一网络传输地址(20)。
私有信息是用户的可信信息,如帐号/密码、cookie信息等,所提发明并不限制私有信息的类型,一些普通的技术可用来设置私有信息的类型及数目,此 后对该问题不再过多阐述。
当处理单元(113)根据识别信息(22)访问数据(2)以响应访问系统调用(12)时,处理单元(113)将执行一系列的程序,访问系统调用(12)与识别信息(22)相关。例如,访问系统调用可能用于打开数据、读取数据、数据拷贝、数据移动、数据关闭或清除内存等系统调用。
本例中处理单元(113)根据识别信息(22)响应数据(2)打开系统调用,其中系统调用有一个与识别信息(22)对应的传递参数,具体代码如下:
其中,OpenFile表示数据打开系统调用,cookie:user@yahoo.com为数据名,HANDLE是与识别信息(22)相关的参数,指向一个内存地址,例如0x532233B。若其它系统调用的传递参数”HANDLE”关联到同样的识别信息(22),则表明这些系统调用访问同一个数据(2)。当处理单元(113)决定根据识别信息打开数据(2),它将开始监视并记录所有与该数据(2)关联的系统调用。
在响应读取数据系统调用时,处理单元(113)将数据(2)的私有信息存入内存的起始地址(131),其中读取数据系统调用有一个与内存起始地址关联的传递参数,处理单元根据下列代码决定对数据的读取:
其中,ReadFileEx表示读取数据系统调用,处理单元(113)根据与识别信息(例如,同样为0x532233B)关联的参数”HANDLE”进行数据读取;参数1pBuff表示内存起始地址(例如该地址为0x04e463b9);同时,处理单元(113)记录数据私有信息(22)存放的存储单元(111)地址,例如起始内存地址(131)。
在响应数据拷贝或数据移动系统调用时,处理单元(113)将数据私有信息(22)从内存(13)起始地址(131)拷贝或移动到第二内存地址(133)。在数据私有信息 (22)拷贝或移动后,处理单元(113)记录或更新当前存储单元(111)中存放数据私有信息(22)的存储地址。数据拷贝或数据移动系统调用中,处理单元的执行代码如下:
其中,memcpy表示数据拷贝系统调用,参数*dest表示第二存储地址(例如0x00123456),参数*src表示数据在内存中的起始地址(131)。
数据移动系统调用主要执行以下代码:
其中,Mov表示数据移动系统调用,参数eax表示第二存储地址,参数ebx表示数据在内存中的起始地址(131)。
在响应数据关闭或清除内存系统调用时,处理单元将持续监视是否有包含私有信息的数据被访问,按照下列代码判断是否关闭数据或清除内存:
其中,FileClose与Free表示数据关闭系统调用与清除内存系统调用。处理单元(113)根据与识别信息(22)关联的参数Handle决定要关闭的数据,参数*ptr表示要关闭的数据的内存地址;参数eax表示要清除的数据的内存地址。处理单元(113)对参数*ptr或eax与数据私有信息(22)的当前存储地址进行比较,若两者相同则可以对数据进行关闭或清除。
与传统的恶意软件检测方法通过特征库进行检测不同,本发明中的监测设备(11)根据系统调用的传递参数判断系统调用是否对数据的私有信息进行访问,同时,监测设备(11)根据传递参数的存储地址对数据私有信息(22)的存储地址进行记录或更新。
在响应发送系统调用(14)时,处理单元(113)对含私有信息的数据(2)进行发送。发送系统调用有一个所传数据的存储地址及一个第二网络传输地址,本例 中第二网络传输地址是恶意软件设置的网络地址(例如该地址为129.342.33.22)。处理单元将根据下列代码进行数据发送。
其中,connect表示建立远程连接的系统调用;send表示通过建立的连接对含私有信息的数据进行发送;参数*name表示第二网络传输地址(如129.342.33.22);参数*buf表示所传数据的存储地址。处理单元(113)对所传数据的存储地址与相应私有信息的当前存储地址进行比较判断两者的一致性。
若处理单元认定所传数据的存储地址(参数*buf)与数据的起始存储地址(如0x4e463b9)或第二存储地址(如0x00123456)匹配,则表明将发送数据的私有信息(22);处理单元(113)根据标记信息表中的识别信息进一步判断第二网络地址与第一网络地址(20)是否匹配。本例中,第二网络地址(129.342.33.22)与第一网络地址(209.191.93.53)不一致,表明数据(2)私有信息(22)将发送到恶意软件指定的地址,于是,处理单元(113)输出一个信号(100)到显示单元(15)。
显示单元(15)根据处理单元的输出信号(100)显示对应的警告信息,同时,处理单元(113)终止数据私有信息(22)的传输。若第二网络地址与第一网络地址一致,处理单元传输数据的私有信息。同时,若所传数据的存储地址与数据在内存的起始存储地址(131)或第二存储地址(133)不一致,则表示数据不含私有信息,监测设备(11)不对该数据进行网络地址比较。
监测设备(11)将持续监测发送数据私有信息(22)相关的系统调用,同时,处理单元根据标记信息表(10)监测对含私有信息的数据的访问。
图2是所提发明中硬件数据监测方法的流程图。该监测方法可用于包含处理单元及存储单元的监测设备,如所提发明的监测设备(11)。包含识别信息、私有信息及至少一个第一网络传输地址的数据根据其识别信息存入存储单元中,私有信息可能包含帐号/密码,cookie信息等。
特殊的,监测方法可以是包含一个机器可读介质的计算机程序存储产品。大部分可执行代码存放在可读介质上,通过计算机将代码载入监测设备并运行。这些可读介质可以是ROM、闪存、软盘、硬盘、U盘、磁带或网络数据库等多种形式。
监测方法具体步骤如图2所示:
Step201:处理单元存储数据识别信息及至少一个标记信息表中的第一网络地址。识别信息包含了数据路径、数据名及数据存储的起始地址;
Step202:响应访问系统调用时,处理单元根据数据识别信息对数据进行访问;例如,响应打开数据系统调用时,处理单元根据数据识别信息打开数据,打开数据系统调用有一个与数据识别信息相关的传递参数;响应数据读取系统调用时,处理单元将数据私有信息存储到相应的起始存储地址,该系统调用有一个与起始存储地址对应的传递参数;响应数据拷贝系统调用时,处理单元将数据私有信息从起始存储地址拷贝到第二存储地址;响应数据移动系统调用与数据拷贝系统调用的响应相似。最后,处理单元记录或更新存储单元中数据私有信息的存储地址。
Step203:响应发送系统调用时,处理单元对数据私有信息进行发送,该调用有一个所传数据的存储地址及一个第二网络传输地址。
Step204:处理单元比较发送系统调用中所传数据的存储地址与相应数据私有信息存储地址的一致性,
Step205:若204中的两个地址相匹配,则处理单元判断是否至少一个标记信息表中的第一网络传输地址与数据识别信息的第二网络传输地址匹配。若匹配,转Step206;否则,转Step207;
Step206:处理单元发送数据私有信息到第二网络地址;
Step207:处理单元输出信号;
Step208:显示单元根据信号显示报警信息;
Step209:处理单元终止数据私有信息传输,返回Step202继续监测其它访问数据的系统调用。
监测方法及监测设备可以将数据识别信息及网络传输地址存入标记信息表,其中网络传输地址是数据传输的目的地址。这样,所提发明的实例可根据系统调用监测含私有信息的数据,若发送系统调用所传输数据的目的网络地址与标记信息表中的所有网络地址不匹配,则数据私有信息的发送将被取消。相应地,所提可以防护如恶意软件引起的不正当传输等安全威胁。
Claims (16)
1.监测设备中用于硬件数据监测的监测方法,监测装置包含处理单元及存储单元,数据有识别信息、私有信息及至少一个网络服务供应商的第一网络传输地址,数据根据表示信息存入存储单元,监测方法包含下列步骤:
使处理单元能存储数据识别信息及标记信息表中的至少一个第一网络传输地址,标记信息表存在内存单元中;
使处理单元在响应操作系统产生的访问系统调用时,能根据识别信息对数据进行访问,访问系统调用包括一个打开数据系统调用及一个数据读取系统调用;
使处理单元在响应打开数据系统调用时,能根据数据识别信息打开数据;打开数据系统调用带有一个与识别信息对应的传递参数;
使处理单元在响应带有起始存储地址参数的数据读取系统调用时,能将数据私有信息存入起始存储地址;
使处理单元能根据数据识别信息及标记信息表中的最少一个第一网络传输地址判断是否有至少一个第一网络传输地址与第二网络传输地址匹配;
使处理单元认定至少一个第一网络传输地址与第二网络传输地址不匹配时,能输出一个信号。
2.在声明1的监测方法中,数据识别信息包括存储路径、数据名及由两者确定的存储单元中的数据。
3.在声明1的监测方法中,发送系统调用通过所传数据的存储地址对数据私有信息进行传输,具体步骤为:
使处理单元能从发送系统调用中获取所传数据存储地址;
使处理单元能判断所传数据的存储地址是否与起始存储地址匹配,若两者匹配则进行数据私有信息的传递;
4.在声明1的监测方法中,访问数据系统调用还包括使处理单元能将数据私有信息从起始存储地址拷贝到与数据拷贝系统调用相关的第二存储地址。
5.在声明1的监测方法中,访问数据系统调用还包括使处理单元能将数据私有信息从起始存储地址移动到与数据移动系统调用相关的第二存储地址。
6.在声明1的监测方法中,监测方法能使显示单元根据信号显示警告信息。
7.在声明1的监测方法可以使处理单元根据信号终止数据私有信息的传输。
8.在声明1的监测方法中,数据私有信息是帐号/密码信息、cookie信息及浏览器自动完成的信息之一。
9.监测硬件数据的监测设备,含私有信息的数据、数据识别信息及最少一个网络服务供应商的第一网络传输地址,监测设备主要包括:
存储单元:用来存放标记信息表及与识别信息对应的数据;
处理单元:存放数据识别信息及至少一个第一网络传输地址,对操作系统生产的访问系统调用响应时根据数据识别信息访问数据,对发送系统次调用响应时进行数据私有信息传输。访问系统调用与数据识别信息相关并包括一个打开数据系统调用及一个数据读取系统调用,其中,打开数据系统调用有一个与识别信息相关的传递参数,数据读取系统调用有一个与数据起始存储地址相关的传递参数。处理单元在响应打开数据系统调用时根据识别信息打开数据,在响应数据读取系统调用时将数据私有信息存放在起始存储地址中;
发送系统调用有一个第二网络传输地址,处理单元根据数据识别信息及标记信息表中的最少一个第一网络传输地址判断是否有至少一个第一网络传输地址与第二网络传输地址匹配,若不匹配则处理单元输出一个信号。
10.对于声明9中的监测设备,识别信息包括数据存储路径及数据名,处理单元根据存储路径及数据名存储数据。
11.对于声明9中的监测设备,处理单元能从发送系统调用中获取所传数据存储地址;判断所传数据的存储地址是否与起始存储地址匹配,若两者匹配则进行数据私有信息传递。
12.对于声明9中的监测设备,访问数据系统调用还包括一个数据拷贝系统调用。处理单元对数据拷贝系统调用响应时,能将数据私有信息从起始存储地址拷贝到与数据拷贝系统调用相关的第二存储地址。
13.对于声明9中的监测设备,访问数据系统调用还包括一个数据移动系统调用。处理单元对数据移动系统调用响应时,能将数据私有信息从起始存储地址移动到与数据拷贝系统调用相关的第二存储地址。
14.对于声明9中的监测设备,硬件包含显示单元,能根据信号显示警告信息。
15.对于声明9中的监测设备,处理单元能根据信号终止数据私有信息的传输。
16.对于声明9中的监测设备,数据私有信息是帐号/密码信息、cookie信息及浏览器自动完成的信息之一。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210512352.6A CN103853624A (zh) | 2012-12-04 | 2012-12-04 | 硬件数据的监测方法及监测设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210512352.6A CN103853624A (zh) | 2012-12-04 | 2012-12-04 | 硬件数据的监测方法及监测设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103853624A true CN103853624A (zh) | 2014-06-11 |
Family
ID=50861308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210512352.6A Pending CN103853624A (zh) | 2012-12-04 | 2012-12-04 | 硬件数据的监测方法及监测设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103853624A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002207660A (ja) * | 2001-01-12 | 2002-07-26 | Nri & Ncc Co Ltd | コンテンツ更新監視システム、コンテンツ更新監視方法、およびコンピュータプログラム |
US20020138748A1 (en) * | 2001-03-21 | 2002-09-26 | Hung Andy C. | Code checksums for relocatable code |
CN101203841A (zh) * | 2005-04-29 | 2008-06-18 | 韦里孙商务环球有限公司 | 防止欺骗性因特网帐户接入 |
CN102088373A (zh) * | 2009-12-03 | 2011-06-08 | 财团法人资讯工业策进会 | 用于监控一硬件的一数据的监控方法及监控装置 |
TW201120635A (en) * | 2009-12-02 | 2011-06-16 | Inst Information Industry | Monitor method, monitor apparatus and computer program product thereof for monitoring a data of a hardware |
-
2012
- 2012-12-04 CN CN201210512352.6A patent/CN103853624A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002207660A (ja) * | 2001-01-12 | 2002-07-26 | Nri & Ncc Co Ltd | コンテンツ更新監視システム、コンテンツ更新監視方法、およびコンピュータプログラム |
US20020138748A1 (en) * | 2001-03-21 | 2002-09-26 | Hung Andy C. | Code checksums for relocatable code |
CN101203841A (zh) * | 2005-04-29 | 2008-06-18 | 韦里孙商务环球有限公司 | 防止欺骗性因特网帐户接入 |
TW201120635A (en) * | 2009-12-02 | 2011-06-16 | Inst Information Industry | Monitor method, monitor apparatus and computer program product thereof for monitoring a data of a hardware |
CN102088373A (zh) * | 2009-12-03 | 2011-06-08 | 财团法人资讯工业策进会 | 用于监控一硬件的一数据的监控方法及监控装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11470108B2 (en) | Detection and prevention of external fraud | |
US11520922B2 (en) | Method for personal data administration in a multi-actor environment | |
US20220101326A1 (en) | Apparatus and method for cybersecurity | |
US20190295102A1 (en) | Computer architecture incorporating blockchain based immutable audit ledger for compliance with data regulations | |
US9659175B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
CN110472414A (zh) | 系统漏洞的检测方法、装置、终端设备及介质 | |
WO2016150313A1 (zh) | 一种可疑进程的探测方法及装置 | |
US11625728B2 (en) | Systems and methods for provisioning embedded internet of things universal IDS (IoT UIDs) in brownfield devices | |
WO2015188788A1 (zh) | 保护移动终端支付安全的方法、装置以及移动终端 | |
US9697660B1 (en) | Systems and methods for verifying user attributes | |
CN102687159A (zh) | 终端管理系统及终端管理方法 | |
US20220239648A1 (en) | Systems and methods for an internet of things device registry display | |
Liccardi et al. | Improving mobile app selection through transparency and better permission analysis | |
Soldatos et al. | Cyber-physical threat intelligence for critical infrastructures security: a guide to integrated cyber-physical protection of modern critical infrastructures | |
CN103001937A (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
CN108021464A (zh) | 一种应用程序响应数据的兜底处理的方法以及装置 | |
CN103853624A (zh) | 硬件数据的监测方法及监测设备 | |
TWI434173B (zh) | 用於監控一硬體之一資料之監控方法、監控裝置及其電腦程式產品 | |
CN102088373B (zh) | 用于监控一硬件的一数据的监控方法及监控装置 | |
US20110138485A1 (en) | Monitor method and monitor apparatus for monitoring data of hardware | |
US20230376964A1 (en) | Systems and methods for detecting unauthorized online transactions | |
WO2019204860A1 (en) | Transaction compliance monitoring | |
WO2024082700A1 (zh) | 数据处理方法、终端设备及系统 | |
Hunting | Cb Response | |
KR20160037600A (ko) | 콘텐츠 정산 방법, 이를 수행하는 콘텐츠 정산 서버 및 이를 저장하는 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140611 |