CN108846287A - 一种检测漏洞攻击的方法及装置 - Google Patents

一种检测漏洞攻击的方法及装置 Download PDF

Info

Publication number
CN108846287A
CN108846287A CN201810668277.XA CN201810668277A CN108846287A CN 108846287 A CN108846287 A CN 108846287A CN 201810668277 A CN201810668277 A CN 201810668277A CN 108846287 A CN108846287 A CN 108846287A
Authority
CN
China
Prior art keywords
task
call stack
goal
conduct
executable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810668277.XA
Other languages
English (en)
Inventor
徐贵斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qianxin Technology Co Ltd
Original Assignee
Beijing Qianxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qianxin Technology Co Ltd filed Critical Beijing Qianxin Technology Co Ltd
Priority to CN201810668277.XA priority Critical patent/CN108846287A/zh
Publication of CN108846287A publication Critical patent/CN108846287A/zh
Priority to CN201811640643.7A priority patent/CN109829307A/zh
Priority to CN201811645681.1A priority patent/CN109766698A/zh
Priority to CN201811640471.3A priority patent/CN109753806B/zh
Priority to CN201811645506.2A priority patent/CN109711170A/zh
Priority to CN201811640481.7A priority patent/CN109711168B/zh
Priority to CN201811640526.0A priority patent/CN109726560A/zh
Priority to CN201811640220.5A priority patent/CN109871690A/zh
Priority to CN201811645578.7A priority patent/CN109711172A/zh
Priority to CN201811645703.4A priority patent/CN109766699B/zh
Priority to CN201811640231.3A priority patent/CN109871691B/zh
Priority to CN201811646131.1A priority patent/CN109766701B/zh
Priority to CN201811645720.8A priority patent/CN109766700A/zh
Priority to CN201811645250.5A priority patent/CN109711169A/zh
Priority to CN201811641292.1A priority patent/CN110443041B/zh
Priority to CN201811640656.4A priority patent/CN109829308B/zh
Priority to CN201811640165.XA priority patent/CN109766696B/zh
Priority to CN201811640174.9A priority patent/CN109871689A/zh
Priority to CN201811640753.3A priority patent/CN109829309A/zh
Priority to CN201811641170.2A priority patent/CN109829310B/zh
Priority to CN201811645563.0A priority patent/CN109711171B/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Retry When Errors Occur (AREA)
  • Alarm Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供一种检测漏洞攻击的方法及装置,所述方法包括:当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。所述装置执行上述方法。本发明实施例提供的检测漏洞攻击的方法及装置,能够有效检测出漏洞攻击。

Description

一种检测漏洞攻击的方法及装置
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种检测漏洞攻击的方法及装置。
背景技术
随着信息技术的发展,不法份子经常采用漏洞攻击的方式非法获取信息,带来的极大的安全隐患。
现有技术采用如下方法保证信息安全:(1)针对漏洞,由厂商推出该漏洞的补丁,漏洞补丁的实现原理是:针对存在漏洞的文件进行修改、并重新编译,然后发布补丁包、替换系统中原有的存在漏洞的文件,即相当于这个漏洞不再存在,也失去了被攻击的可能性。而此方法的缺陷是:每个漏洞都需要对应的补丁、导致打补丁的工作量很大;漏洞补丁文件需要替换系统中现有存在漏洞的文件,测试、发布、更新的周期长,及时性没有保障;兼容性测试受时间等因素限制,导致用户不愿意打补丁;漏洞补丁只针对已经被发现并提交的漏洞,对未知漏洞完全无效。(2)漏洞攻击的技术攻防:服务商针对漏洞利用技术,从技术角度对漏洞攻击进行封堵防护,比如:DEP、SafeSEH、ASLR等技术的推出与应用。技术原理:每一项技术都针对了漏洞利用技术中的一种或几种,比如:DEP(数据执行保护),针对的就是溢出攻击后攻击代码在数据栈执行的问题。防护效果:每一项技术的推出,在一段时间内,都会导致利用这一技术的大量攻击都失去效果。而此方法的缺陷是:每一项新技术的应用,带来的最大问题就是兼容问题,从而导致新技术真正得到应用需要几年甚至更长时间,时效性是个最大的问题;攻防之间是一个持续的过程,防护的新技术出来,绕过防护的新的攻击方法,也会在之后迅速出现,目前主流的防护技术都有了绕过的方法。(3)漏洞攻击常规性检测与查杀:安全厂商的常规性查杀,也被应用到了漏洞攻击的发现与防护中去;其技术实现原理是:对漏洞攻击后期进入系统中的木马程序进行静态文件特征匹配检测,如果木马文件的静态文件特征在黑库中,则认为是恶意程序并进行查杀。而此方法的缺陷是:静态文件特征库匹配查杀最大的问题就是滞后性,只有先行拿到了样本,经过分析、提取特征并入库后,才具备查杀能力;另外,木马的多样、多态、变形性更是让常规的静态文件特征匹配查杀的效果降到了最低点。(4)通过主动防御的强控制来实现漏洞攻击发现:在主机的主动防御中采取“非白即黑”的强控制方式,即在主机上运行的所有程序必须是在白名单中,否则不允许执行。而此方法的缺陷是:此种方式,在查杀效果上,要明显的优于“黑特征”匹配的查杀方式,但如今大量攻击是使用系统本身自有的程序与功能来实现,以此来绕过应用管控。
因此,如何避免上述缺陷,能够有效检测出漏洞攻击,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种检测漏洞攻击的方法及装置。
第一方面,本发明实施例提供一种检测漏洞攻击的方法,所述方法包括:
当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
第二方面,本发明实施例提供一种检测漏洞攻击的装置,所述装置包括:
第一获取单元,用于当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
第一确定单元,用于根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
第二获取单元,用于若判断获知所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
第二确定单元,用于根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
本发明实施例提供的检测漏洞攻击的方法及装置,通过预设任务行为规则分别检测任务和任务调用栈是否异常,能够有效检测出漏洞攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例检测漏洞攻击的方法流程示意图;
图2为本发明实施例正常的通过远程管理工具启动Shell的流程示意图;
图3为本发明实施例某勒索者病毒样本利用ms17-010漏洞远程攻击主机启动Shell的流程示意图;
图4为本发明实施例整体检测漏洞攻击的方法流程示意图;
图5为本发明实施例检测漏洞攻击的装置结构示意图;
图6为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于说明,对本发明实施例相关的术语解释如下:
漏洞攻击:
是指利用程序缺陷来实现对系统原有工作流程、方式、权限进行非法改变、并完成攻击者非法目的的一种方法。
例如:A程序是用来打开一个网站的,正常的使用方法是“你发送给它一个URL,它把此URL指向的网站打开”,当A程序对URL的处理存在缺陷时,发送给它一个特殊构造的URL,就可能导致它下载并执行一个木马程序,这个缺陷利用过程就是漏洞攻击。
任务:
是指一项工作,比如:文件创建、程序执行等。
任务执行路径:
是指任务从发起到最终实现目的之间的工作流程,包括:任务发起者、中间参与者、途经节点、调用流程(栈)等。
HOOK:
挂钩,是计算机安全领域常用的一种安全监控技术方法,可以对一些关键的系统API进行挂钩,当系统执行某一任务时,就会进入到HOOK处理流程中,可以在HOOK处理代码中对任务的正当性进行检测。
比如:我们HOOK了系统API NtCreateFile,那么系统中所有的文件打开、创建操作,都将被我们截获,我们可以在HOOK代码中对文件打开创建操作的合法性进行验证,可以允许操作继续执行下去,也可以中断操作的执行。
黑与白:
本文中提到的“白”,指的是正常的、好的;而“黑”,则是指恶意的、坏的。比如:白特征,指的是好的文件特征、正当的行为特征等正向特征;黑特征,则是指恶意程序的文件特征、恶意行为特征等负向特征。
图1为本发明实施例检测漏洞攻击的方法流程示意图,如图1所示,本发明实施例提供的一种检测漏洞攻击的方法,包括以下步骤:
S101:当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象。
具体的,装置当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象。目标任务可以包括创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种,但不作具体限定。可以通过内核驱动及R3层DLL,并采用HOOK的方式对目标任务进行挂钩监控。调用对象可以包括服务或计算机应用程序,服务可以理解为系统服务,例如tlntsvr.exe、spoolsv.exe等,计算机应用程序可以包括浏览器、下载工具等。
S102:根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务。
具体的,装置根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务。图2为本发明实施例正常的通过远程管理工具启动Shell的流程示意图;图3为本发明实施例某勒索者病毒样本利用ms17-010漏洞远程攻击主机启动Shell的流程示意图,ms17-010漏洞是勒索者病毒Wannacry实际使用的漏洞,如图2和图3所示,目标任务为“启动Shell程序cmd.exe”、图2的调用对象为tlntsvr.exe;图3的调用对象为spoolsv.exe,预设任务行为规则可以理解为按照任务执行正当性制定的行为规则(特征白库),参照上述举例:预设调用对象tlntsvr.exe可执行的预设可执行任务为“可通过启动tlntsess.exe来间接启动shell程序cmd.exe”,即:tlntsvr.exe启动tlntsess.exe、tlntsess.exe再启动cmd.exe是符合“执行正当性”的,在windows操作系统中,每个服务或程序都有自己的工作分工,tlntsvr.exe是系统提供给用户的远程管理服务程序,当用户通过tlntsvr.exe远程管理计算机时,tlntsvr.exe会为每一个用户创建一个单独的进程,即:tlntsess.exe进程,然后由tlntsess.exe来执行用户的远程管理指令,包括启动Shell程序cmd.exe的指令。所以,合法启动Shell程序的流程就是:tlntsvr.exe启动tlntsess.exe、tlntsess.exe再启动Shell程序cmd.exe;而勒索者病毒样本利用MS17-010漏洞溢出攻击后,通过spoolsv.exe服务来启动Shell程序cmd.exe是不符合“执行正当性”的,事实上spoolsv.exe是Print Spooler的进程,用于管理所有本地和网络打印队列及控制所有打印工作,spoolsv.exe没有任何启动Shell的理由,甚至spoolsv.exe就不应该具备启动任何程序的能力,在其导入表中,也根本就没有启动一个程序的相关API,一旦它启动了一个程序,那一定是不符合“执行正当性”的。参照上述举例,调用对象tlntsvr.exe对应的可执行任务为“启动tlntsess.exe,再由tlntsess.exe来执行启动Shell程序cmd.exe”,与上述“启动Shell程序cmd.exe”的目标任务相同;而调用对象spoolsv.exe对应的可执行任务为“管理所有本地和网络打印队列及控制所有打印工作任务”,与上述“启动Shell程序cmd.exe”的目标任务不同,可以直接确定检测结果为有漏洞攻击。对调用对象为计算机应用程序的说明,可以参照上述调用对象为服务的说明,不再赘述。
还需要说明的是:预设任务行为规则的建立包括:
建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。其中,第一预设任务行为规则包括:第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。操作系统信息可以包括具体哪种操作系统,以及具体操作系统的版本号,例如:x系统+x版本+x服务,其中x系统可以为window XP系统,x版本可以为window XP SP3,x服务可以是上述的tlntsvr.exe和spoolsv.exe,对x系统、x版本和x服务的内容不作具体限定。其中,所述第二预设任务行为规则包括:第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息,例如:“y程序+y版本”,其中y程序可以是某公司开发的浏览器,对应的计算机应用程序标识为该公司浏览器名称a、y版本为aV1.0版,对y程序和y版本的内容不作具体限定。
S103:若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈。
具体的,装置若判断获知所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈。该任务调用栈可以理解为待检测的任务调用栈。判断所述可执行任务与所述目标任务相同的说明可以参照上述说明,不再赘述。
S104:根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
具体的,装置根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。对预设可执行任务的过程中调用的预设任务调用栈举例说明如下:
与图2中的预设可执行任务“启动Shell程序cmd.exe”执行过程中调用的预设任务调用栈为:
当前进程:tlntsvr.exe
调用栈:
nt!NtCreateUserProcess
nt!KiSystemServiceCopyEnd
ntdll!ZwCreateUserProcess
kernel32!CreateProcessInternalW
kernel32!CreateProcessW
tlntsvr!CTelnetService::CreateSessionProcess
tlntsvr!CTelnetService::CreateClient
tlntsvr!CTelnetService::ListenerThread
tlntsvr!TelnetServiceThread
tlntsvr!CServiceModule::Run
tlntsvr!CServiceModule::_ServiceMain
sechost!ScSvcctrlThreadA
kernel32!BaseThreadInitThunk
ntdll!RtlUserThreadStart
启动的进程:
"C:\Windows\System32\tlntsess.exe"
当前进程:tlntsess.exe
调用栈:
kernel32!CreateProcessAsUserW
ADVAPI32!CreateProcessAsUserWStub
tlntsess!CShell::StartProcess
tlntsess!CShell::StartUserSession
tlntsess!CIoHandler::ProcessDataFromSocket
tlntsess!CIoHandler::OnDataFromSocket
tlntsess!CSession::WaitForIo
tlntsess!main
tlntsess!LsaFreeMemory
kernel32!BaseThreadInitThunk
ntdll!RtlUserThreadStart
启动的进程:
"C:\Windows\system32\cmd.exe"
具体可以:根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈;若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。目标任务调用栈可以理解为在预设任务调用栈中的与目标任务“启动Shell程序cmd.exe”对应的任务调用栈,即上述的举例的预设任务调用栈。该任务调用栈作为待检测的任务调用栈,与上述目标任务调用栈相比对,如果比对结果相同,则确定所述检测结果为没有漏洞攻击。如果比对结果不同,则确定所述检测结果为有漏洞攻击。需要说明的是:比对结果相同,可以包括所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同,任务参与方可以包括除调用对象tlntsvr.exe和tlntsess.exe之外的
关键动态库及API调用,如:
kernel32!CreateProcessAsUserW
ADVAPI32!CreateProcessAsUserWStub
kernel32!BaseThreadInitThunk
ntdll!RtlUserThreadStart
调用流程可以理解为上述启动的流程顺序,即先ntdll!RtlUserThreadStart再kernel32!BaseThreadInitThunk,又经过tlntsess!main、tlntsess!CSession::WaitForIo、tlntsess!CShell::StartProcess等节点,最终调用kernel32!CreateProcessAsUserW完成任务。。
比对结果不同,可以包括:所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。即只要上述任务调用栈只有一处与上述黑色斜体内容不同,则比对结果就不同。
从调用栈可以发现,正常的任务执行流程很完整、很清晰,每次调用都来自服务本身或计算机应用程序本身(未示出),从栈中可以清晰的看到tlntsvr.exe服务启动(tlntsvr!CServiceModule::_ServiceMain)、创建监听线程等待连接(tlntsvr!CTelnetService::ListenerThread)、连接成功后创建tlntsess.exe进程(tlntsvr!CTelnetService::CreateSessionProcess);而tlntsess.exe进程的调用栈同样很完整、很清晰,从启动(tlntsess!main)、等待用户指令(tlntsess!CSession::WaitForIo)、到接到启动Shell指令后启动Shell(tlntsess!CShell::StartProcess)都有着清晰明了的调用逻辑。
如下为与图3对应的漏洞攻击的调用栈:
当前进程:spoolsv.exe
调用栈:
nt!NtCreateUserProcess
nt!KiSystemServiceCopyEnd
ntdll!ZwCreateUserProcess
kernel32!CreateProcessInternalW
kernel32!CreateProcessInternalA
kernel32!CreateProcessA
0x40028e
0x278fc50
启动的进程:
"C:\Windows\System32\cmd.exe"与上述正常调用相比,则有着极大的反差。只看到了来自异常内存地址(0x278fc50、0x40028e)对cmd.exe的启动(kernel32!CreateProcessA),除此外,在调用kernel32!CreateProcessA函数启动cmd.exe之前,并没有任何正常工作流程应该有的对各工作节点API的调用,有着极其明显的溢出攻击特征。
本发明实施例还具有如下效果:
(1)与漏洞数量无关、与漏洞是否已知无关、无兼容性问题。
(2)基于白的“行为正当性与执行流程正当性”规则特征来做匹配检测,与基于黑的静态文件特征匹配正好相反,但效果却有天壤之别,不需要事前捕获样本、不受木马变形、多样、多态的影响。
(3)“程序的行为是否正当、任务的执行流程是否正当”来做判断标准,而不是以“程序或文件本身是否白程序”来判断,所以即使是黑客全程利用系统本身的程序来实现其非法目的,同样会被检出。
进一步地,任何攻击都是有目的的,而黑客要想实现自己的目的,就一定要有自己的后门程序进入,并获得执行权,或利用系统原有程序来实现自己的目的,所有需求都在攻击代码中实现,是完全不现实的。
因此,在攻击过程中,一些行为(任务)就必然会发生一个或多个,如:文件下载(传输)、文件创建、加载执行、端口监听、反向连接等。区别之处在于,黑客会用各种冷门儿的方法来实现这些任务,但任务的实现方法,一定是可穷举的,并且数量很有限。
任务实现方法的多少,决定了本发明实施例HOOK的监控点的多少,目前已知的方法,不超过20种,远远低于漏洞出现频率,例如:近几年并没有任何新的漏洞攻击方法出现,但去年一年就新增了几万的漏洞。
所以,本发明实施例与漏洞的数量无关、与漏洞的位置无关、与漏洞是否已知无关,只与攻击技术相关。
本发明的攻击检测是以“正当行为与正当的任务执行流程做依据”的“非白即黑”的强规则检测机制,而这种检测机制本身,必然的会使当前绝大多数的木马欺骗、混淆手段无效,绕过本发明的攻击发现机制也将是极其困难的。
除非木马将自己的行为完美的模仿成为与正常行为完全一致,但从技术上来说,这是很难实现的,原因如下:
首先,产生漏洞且被攻击的程序与对应正当行为发起者的程序正好是同一个程序的概率非常低,低到几乎是不可能发生。
其次,现代操作系统运行原理决定了任何调用行为必然会在栈上留下调用轨迹,即攻击、隐藏或技术对抗行为本身就会在调用栈上体现,行为越复杂,对原有调用栈的破坏就越严重。
所以,即使在极小概率下,漏洞发生的程序与正常行为发起程序真的发生在同一个程序中,想让攻击调用栈保持与正常行为调用栈一样,也几乎是不可能完成的任务。
图4为本发明实施例整体检测漏洞攻击的方法流程示意图,如图4所示,需要说明的是图4针对的是调用对象为服务的情况,调用对象为计算机应用程序的情况不采用附图的形式说明,参照图4,可以对检测出的漏洞攻击进行结束处理或拒绝执行,从而对检测到的漏洞攻击进行防护。
本发明实施例提供的检测漏洞攻击的方法,通过预设任务行为规则分别检测任务和任务调用栈是否异常,能够有效检测出漏洞攻击。
在上述实施例的基础上,所述根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果,包括:
根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈。
具体的,装置根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈。可参照上述实施例,不再赘述。
若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。
具体的,装置若判断获知所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,通过比对任务调用栈与目标任务调用栈,若比对结果相同,则确定检测结果为没有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,若所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。
具体的,装置若判断获知所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,通过比对任务调用栈与目标任务调用栈,若比对结果不同,则确定检测结果为有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述任务调用栈与所述目标任务调用栈相同,包括:
所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。
具体的,装置中的,所述任务调用栈与所述目标任务调用栈相同,包括所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,如果比对任务参与方、以及任务参与方的调用流程都相同,则确定检测结果为没有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述任务调用栈与所述目标任务调用栈不同,包括:
所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。
具体的,装置中的所述任务调用栈与所述目标任务调用栈不同,包括:所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,如果比对至少一个任务参与方或任务参与方的至少一个调用流程不同,则确定检测结果为有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述方法还包括:
若所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。
具体的,装置若判断获知所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,如果可执行任务与目标任务不同,则直接确定检测结果为有漏洞攻击,进一步能够快速、有效检测出漏洞攻击。
在上述实施例的基础上,所述调用对象包括服务或计算机应用程序;相应的,所述预设任务行为规则的建立包括:
建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。
具体的,装置建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,通过为服务和计算机应用程序分别建立对应的预设任务行为规则,能够便于管理服务和计算机应用程序分别对应的任务行为规则。
在上述实施例的基础上,所述第一预设任务行为规则包括:
第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。
具体的,装置中的所述第一预设任务行为规则包括:第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,能够便于管理第一预设任务行为规则。
在上述实施例的基础上,所述第二预设任务行为规则包括:
第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。
具体的,装置中的所述第二预设任务行为规则包括:第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,能够便于管理第二预设任务行为规则,
在上述实施例的基础上,所述目标任务包括:
创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。
具体的,装置中的所述目标任务包括:创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。可参照上述实施例,不再赘述。
本发明实施例提供的检测漏洞攻击的方法,能够全面地监控目标任务,还可以根据实际需要增减监控目标任务的数量。
图5为本发明实施例检测漏洞攻击的装置结构示意图,如图5所示,本发明实施例提供了一种检测漏洞攻击的装置,包括第一获取单元501、第一确定单元502、第二获取单元503和第二确定单元504,其中:
第一获取单元501用于当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;第一确定单元502用于根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;第二获取单元503用于若判断获知所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;第二确定单元504用于根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
具体的,第一获取单元501用于当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;第一确定单元502用于根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;第二获取单元503用于若判断获知所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;第二确定单元504用于根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
本发明实施例提供的检测漏洞攻击的装置,通过预设任务行为规则分别检测任务和任务调用栈是否异常,能够有效检测出漏洞攻击。
在上述实施例的基础上,所述第二确定单元504具体用于:
根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈;若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。
具体的,所述第二确定单元504具体用于:根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈;若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。
本发明实施例提供的检测漏洞攻击的装置,通过比对任务调用栈与目标任务调用栈,若比对结果相同,则确定检测结果为没有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述第二确定单元504还具体用于:若判断获知所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。
具体的,所述第二确定单元504还具体用于:若判断获知所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。
本发明实施例提供的检测漏洞攻击的装置,通过比对任务调用栈与目标任务调用栈,若比对结果不同,则确定检测结果为有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述第二确定单元504中的所述任务调用栈与所述目标任务调用栈相同,包括:所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。
具体的,所述第二确定单元504中的所述任务调用栈与所述目标任务调用栈相同,包括:所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。
本发明实施例提供的检测漏洞攻击的装置,如果比对任务参与方、以及任务参与方的调用流程都相同,则确定检测结果为没有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述第二确定单元504中的所述任务调用栈与所述目标任务调用栈不同,包括:所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。
具体的,所述第二确定单元504中的所述任务调用栈与所述目标任务调用栈不同,包括:所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。
本发明实施例提供的检测漏洞攻击的装置,如果比对至少一个任务参与方或任务参与方的至少一个调用流程不同,则确定检测结果为有漏洞攻击,进一步能够有效检测出漏洞攻击。
在上述实施例的基础上,所述装置还用于:若判断获知所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。
具体的,所述装置还用于:若判断获知所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。
本发明实施例提供的检测漏洞攻击的装置,如果可执行任务与目标任务不同,则直接确定检测结果为有漏洞攻击,进一步能够快速、有效检测出漏洞攻击。
在上述实施例的基础上,所述调用对象包括服务或计算机应用程序;相应的,所述预设任务行为规则的建立包括:
建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。
具体的,装置中的所述预设任务行为规则的建立包括:建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。
本发明实施例提供的检测漏洞攻击的装置,通过为服务和计算机应用程序分别建立对应的预设任务行为规则,能够便于管理服务和计算机应用程序分别对应的任务行为规则。
在上述实施例的基础上,所述第一预设任务行为规则包括:
第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。
具体的,装置中的所述第一预设任务行为规则包括:第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。
本发明实施例提供的检测漏洞攻击的装置,能够便于管理第一预设任务行为规则。
在上述实施例的基础上,所述第二预设任务行为规则包括:
第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。
具体的,装置中的所述第二预设任务行为规则包括:
第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。
本发明实施例提供的检测漏洞攻击的装置,能够便于管理第二预设任务行为规则。
在上述实施例的基础上,所述目标任务包括:
创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。
具体的,装置中的所述目标任务包括:创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。
本发明实施例提供的检测漏洞攻击的装置,能够全面地监控目标任务,还可以根据实际需要增减监控目标任务的数量。
本发明实施例提供的检测漏洞攻击的装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图6为本发明实施例提供的电子设备实体结构示意图,如图6所示,所述电子设备包括:处理器(processor)601、存储器(memory)602和总线603;
其中,所述处理器601、存储器602通过总线603完成相互间的通信;
所述处理器601用于调用所述存储器602中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。

Claims (22)

1.一种检测漏洞攻击的方法,其特征在于,包括:
当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
若所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
2.根据权利要求1所述的方法,其特征在于,所述根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果,包括:
根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈;
若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。
3.根据权利要求2所述的方法,其特征在于,若所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。
4.根据权利要求2所述的方法,其特征在于,所述任务调用栈与所述目标任务调用栈相同,包括:
所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。
5.根据权利要求3所述的方法,其特征在于,所述任务调用栈与所述目标任务调用栈不同,包括:
所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。
6.根据权利要求1至5任一所述的方法,其特征在于,所述方法还包括:
若所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。
7.根据权利要求1至5任一所述的方法,其特征在于,所述调用对象包括服务或计算机应用程序;相应的,所述预设任务行为规则的建立包括:
建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。
8.根据权利要求7所述的方法,其特征在于,所述第一预设任务行为规则包括:
第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。
9.根据权利要求7所述的方法,其特征在于,所述第二预设任务行为规则包括:
第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。
10.根据权利要求1至5任一所述的方法,其特征在于,所述目标任务包括:
创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。
11.一种检测漏洞攻击的装置,其特征在于,包括:
第一获取单元,用于当监控到目标任务执行时,获取当前执行所述目标任务所需的调用对象;
第一确定单元,用于根据所述调用对象和预设任务行为规则,确定所述调用对象对应的可执行任务;所述预设任务行为规则包括预设调用对象可执行的预设可执行任务;
第二获取单元,用于若判断获知所述可执行任务与所述目标任务相同,则获取当前执行所述目标任务所需的任务调用栈;
第二确定单元,用于根据所述任务调用栈、所述目标任务和所述预设任务行为规则,确定漏洞攻击的检测结果;所述预设任务行为规则还包括执行所述预设可执行任务的过程中调用的预设任务调用栈。
12.根据权利要求11所述的装置,其特征在于,所述第二确定单元具体用于:
根据所述目标任务和所述预设任务行为规则,确定与所述目标任务对应的目标任务调用栈;
若所述任务调用栈与所述目标任务调用栈相同,则确定所述检测结果为没有漏洞攻击。
13.根据权利要求12所述的装置,其特征在于,所述第二确定单元还具体用于:
若判断获知所述任务调用栈与所述目标任务调用栈不同,则确定所述检测结果为有漏洞攻击。
14.根据权利要求12所述的装置,其特征在于,所述第二确定单元中的所述任务调用栈与所述目标任务调用栈相同,包括:
所述任务调用栈和所述目标任务调用栈的任务参与方、以及所述任务参与方的调用流程都相同。
15.根据权利要求13所述的装置,其特征在于,所述第二确定单元中的所述任务调用栈与所述目标任务调用栈不同,包括:
所述任务调用栈和所述目标任务调用栈的至少一个任务参与方不同;或,所述任务参与方的至少一个调用流程不同。
16.根据权利要求11至15任一所述的装置,其特征在于,所述装置还用于:
若判断获知所述可执行任务与所述目标任务不同,则直接确定所述检测结果为有漏洞攻击。
17.根据权利要求11至15任一所述的装置,其特征在于,所述调用对象包括服务或计算机应用程序;相应的,所述预设任务行为规则的建立包括:
建立与所述服务对应的第一预设任务行为规则;或,建立与所述计算机应用程序对应的第二预设任务行为规则。
18.根据权利要求17所述的装置,其特征在于,所述第一预设任务行为规则包括:
第一类型信息和所述预设可执行任务之间的对应关系;其中,所述第一类型信息包括所述服务对应的服务标识和所述服务所在设备中的操作系统信息。
19.根据权利要求17所述的装置,其特征在于,所述第二预设任务行为规则包括:
第二类型信息和所述预设可执行任务之间的对应关系;其中,所述第二类型信息包括所述计算机应用程序对应的计算机应用程序标识和所述计算机应用程序版本信息。
20.根据权利要求11至15任一所述的装置,其特征在于,所述目标任务包括:
创建进程、加载可执行映像、申请可执行内存、更改内存权限为可执行、监听端口、下载文件中的至少一种。
21.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至10任一所述的方法。
22.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至10任一所述的方法。
CN201810668277.XA 2018-05-04 2018-06-26 一种检测漏洞攻击的方法及装置 Pending CN108846287A (zh)

Priority Applications (21)

Application Number Priority Date Filing Date Title
CN201810668277.XA CN108846287A (zh) 2018-06-26 2018-06-26 一种检测漏洞攻击的方法及装置
CN201811645563.0A CN109711171B (zh) 2018-05-04 2018-12-29 软件漏洞的定位方法及装置、系统、存储介质、电子装置
CN201811640231.3A CN109871691B (zh) 2018-06-26 2018-12-29 基于权限的进程管理方法、系统、设备及可读存储介质
CN201811645720.8A CN109766700A (zh) 2018-05-04 2018-12-29 访问文件的控制方法及装置、存储介质、电子装置
CN201811640471.3A CN109753806B (zh) 2018-06-26 2018-12-29 服务器防护方法及装置
CN201811645506.2A CN109711170A (zh) 2018-05-04 2018-12-29 防护pdf的异常操作行为的方法及装置
CN201811640481.7A CN109711168B (zh) 2018-06-26 2018-12-29 基于行为的服务识别方法、装置、设备及可读存储介质
CN201811640526.0A CN109726560A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置
CN201811640220.5A CN109871690A (zh) 2018-05-04 2018-12-29 设备权限的管理方法及装置、存储介质、电子装置
CN201811645578.7A CN109711172A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811645703.4A CN109766699B (zh) 2018-05-04 2018-12-29 操作行为的拦截方法及装置、存储介质、电子装置
CN201811640643.7A CN109829307A (zh) 2018-06-26 2018-12-29 进程行为识别方法及装置
CN201811646131.1A CN109766701B (zh) 2018-06-26 2018-12-29 针对异常进程结束操作的处理方法、装置、及电子装置
CN201811645681.1A CN109766698A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811645250.5A CN109711169A (zh) 2018-05-04 2018-12-29 系统文件的防护方法及装置、系统、存储介质、电子装置
CN201811641292.1A CN110443041B (zh) 2018-05-04 2018-12-29 设备权限的管理方法及装置、系统、存储介质、电子装置
CN201811640656.4A CN109829308B (zh) 2018-05-04 2018-12-29 控制策略的管理方法及装置、存储介质、电子装置
CN201811640165.XA CN109766696B (zh) 2018-05-04 2018-12-29 软件权限的设置方法及装置、存储介质、电子装置
CN201811640174.9A CN109871689A (zh) 2018-05-04 2018-12-29 操作行为的拦截方法及装置、存储介质、电子装置
CN201811640753.3A CN109829309A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置
CN201811641170.2A CN109829310B (zh) 2018-05-04 2018-12-29 相似攻击的防御方法及装置、系统、存储介质、电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810668277.XA CN108846287A (zh) 2018-06-26 2018-06-26 一种检测漏洞攻击的方法及装置

Publications (1)

Publication Number Publication Date
CN108846287A true CN108846287A (zh) 2018-11-20

Family

ID=64202031

Family Applications (10)

Application Number Title Priority Date Filing Date
CN201810668277.XA Pending CN108846287A (zh) 2018-05-04 2018-06-26 一种检测漏洞攻击的方法及装置
CN201811640481.7A Active CN109711168B (zh) 2018-06-26 2018-12-29 基于行为的服务识别方法、装置、设备及可读存储介质
CN201811645578.7A Pending CN109711172A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811640526.0A Pending CN109726560A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置
CN201811640471.3A Active CN109753806B (zh) 2018-06-26 2018-12-29 服务器防护方法及装置
CN201811645681.1A Pending CN109766698A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811646131.1A Active CN109766701B (zh) 2018-06-26 2018-12-29 针对异常进程结束操作的处理方法、装置、及电子装置
CN201811640231.3A Active CN109871691B (zh) 2018-06-26 2018-12-29 基于权限的进程管理方法、系统、设备及可读存储介质
CN201811640643.7A Pending CN109829307A (zh) 2018-06-26 2018-12-29 进程行为识别方法及装置
CN201811640753.3A Pending CN109829309A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置

Family Applications After (9)

Application Number Title Priority Date Filing Date
CN201811640481.7A Active CN109711168B (zh) 2018-06-26 2018-12-29 基于行为的服务识别方法、装置、设备及可读存储介质
CN201811645578.7A Pending CN109711172A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811640526.0A Pending CN109726560A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置
CN201811640471.3A Active CN109753806B (zh) 2018-06-26 2018-12-29 服务器防护方法及装置
CN201811645681.1A Pending CN109766698A (zh) 2018-06-26 2018-12-29 数据防护方法及装置
CN201811646131.1A Active CN109766701B (zh) 2018-06-26 2018-12-29 针对异常进程结束操作的处理方法、装置、及电子装置
CN201811640231.3A Active CN109871691B (zh) 2018-06-26 2018-12-29 基于权限的进程管理方法、系统、设备及可读存储介质
CN201811640643.7A Pending CN109829307A (zh) 2018-06-26 2018-12-29 进程行为识别方法及装置
CN201811640753.3A Pending CN109829309A (zh) 2018-06-26 2018-12-29 终端设备系统防护方法及装置

Country Status (1)

Country Link
CN (10) CN108846287A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109558730A (zh) * 2018-12-29 2019-04-02 360企业安全技术(珠海)有限公司 一种浏览器的安全防护方法及装置
CN109711166A (zh) * 2018-12-17 2019-05-03 北京知道创宇信息技术有限公司 漏洞检测方法及装置
CN109800576A (zh) * 2018-12-29 2019-05-24 360企业安全技术(珠海)有限公司 未知程序异常请求的监控方法、装置、及电子装置
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质
CN110610086A (zh) * 2019-08-30 2019-12-24 北京卓识网安技术股份有限公司 非法代码识别方法、系统、装置及存储介质
CN111859405A (zh) * 2020-07-31 2020-10-30 深信服科技股份有限公司 一种威胁免疫框架、方法、设备及可读存储介质
CN112398784A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 防御漏洞攻击的方法及装置、存储介质、计算机设备
CN112395617A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备
CN113632432A (zh) * 2019-09-12 2021-11-09 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
CN113779561A (zh) * 2021-09-09 2021-12-10 安天科技集团股份有限公司 内核漏洞处理方法、装置、存储介质及电子设备

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398789A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 远程登录的控制方法及装置、系统、存储介质、电子装置
CN112395585B (zh) * 2019-08-15 2023-01-06 奇安信安全技术(珠海)有限公司 数据库服务登录方法、装置、设备及可读存储介质
CN112395604B (zh) * 2019-08-15 2022-09-30 奇安信安全技术(珠海)有限公司 系统监控登录防护方法、客户端、服务端、及存储介质
CN112398787B (zh) * 2019-08-15 2022-09-30 奇安信安全技术(珠海)有限公司 邮箱登录验证的方法、装置、计算机设备及存储介质
CN111209559B (zh) * 2019-12-23 2022-02-15 东软集团股份有限公司 应用程序的权限处理方法、装置、存储介质和电子设备
CN111046377B (zh) * 2019-12-25 2023-11-14 五八同城信息技术有限公司 加载动态链接库的方法、装置、电子设备及存储介质
CN111382076B (zh) * 2020-03-10 2023-04-25 抖音视界有限公司 应用程序的测试方法、装置、电子设备及计算机存储介质
CN113626296A (zh) * 2020-05-09 2021-11-09 深圳云天励飞技术有限公司 一种系统稳定性的检测方法、装置和终端
CN111884884B (zh) * 2020-07-31 2022-05-31 北京明朝万达科技股份有限公司 监控文件传输的方法、系统及装置
CN112069505B (zh) * 2020-09-15 2021-11-23 北京微步在线科技有限公司 一种审计信息处理方法及电子设备
US12039031B2 (en) * 2020-09-16 2024-07-16 Cisco Technology, Inc. Security policies for software call stacks
CN112910868A (zh) * 2021-01-21 2021-06-04 平安信托有限责任公司 企业网络安全管理方法、装置、计算机设备及存储介质
CN113392416B (zh) * 2021-06-28 2024-03-22 北京恒安嘉新安全技术有限公司 获取应用程序加解密数据的方法、装置、设备及存储介质
CN113742726B (zh) * 2021-08-27 2024-10-15 恒安嘉新(北京)科技股份公司 程序识别模型训练和程序识别方法、装置、设备及介质
CN115051905A (zh) * 2022-07-19 2022-09-13 广东泓胜科技股份有限公司 一种端口安全监控分析方法、装置及相关设备
CN116707929B (zh) * 2023-06-16 2024-07-05 广州市玄武无线科技股份有限公司 基于调用栈信息获取的手机拍照造假检测方法、装置、终端设备和计算机可读存储介质
CN118226795B (zh) * 2024-05-23 2024-08-13 山东颐阳生物科技集团股份有限公司 一种酒类原料加工车间的产线安全监管系统及方法

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7546587B2 (en) * 2004-03-01 2009-06-09 Microsoft Corporation Run-time call stack verification
US7891000B1 (en) * 2005-08-05 2011-02-15 Cisco Technology, Inc. Methods and apparatus for monitoring and reporting network activity of applications on a group of host computers
KR100843701B1 (ko) * 2006-11-07 2008-07-04 소프트캠프(주) 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법
CN101059829A (zh) * 2007-05-16 2007-10-24 珠海金山软件股份有限公司 一种自动分析进程风险等级的装置和方法
US8117424B2 (en) * 2007-09-21 2012-02-14 Siemens Industry, Inc. Systems, devices, and/or methods for managing programmable logic controller processing
CN101373501B (zh) * 2008-05-12 2010-06-02 公安部第三研究所 针对计算机病毒的动态行为捕获方法
CN101286995B (zh) * 2008-05-23 2010-12-08 北京锐安科技有限公司 一种远程控制方法和远程控制系统
US9110801B2 (en) * 2009-02-10 2015-08-18 International Business Machines Corporation Resource integrity during partial backout of application updates
CN101753377B (zh) * 2009-12-29 2011-11-09 吉林大学 一种p2p_botnet实时检测方法及系统
CN103136472B (zh) * 2011-11-29 2016-08-31 腾讯科技(深圳)有限公司 一种防应用程序窃取隐私的方法及移动设备
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103368904B (zh) * 2012-03-27 2016-12-28 百度在线网络技术(北京)有限公司 移动终端、可疑行为检测及判定系统和方法
WO2013156823A1 (en) * 2012-04-20 2013-10-24 Freescale Semiconductor, Inc. Information processing device and method for protecting data in a call stack
CN102750475B (zh) * 2012-06-07 2017-08-15 中国电子科技集团公司第三十研究所 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统
CN103778375B (zh) * 2012-10-24 2017-11-17 腾讯科技(深圳)有限公司 防止用户设备加载非法的动态链接库文件的装置和方法
US8990944B1 (en) * 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9558347B2 (en) * 2013-08-27 2017-01-31 Globalfoundries Inc. Detecting anomalous user behavior using generative models of user actions
CN103631712B (zh) * 2013-10-23 2016-03-02 北京信息控制研究所 一种基于内存管理的模式化软件关键行为跟踪方法
US9519758B2 (en) * 2014-02-04 2016-12-13 Pegasus Media Security, Llc System and process for monitoring malicious access of protected content
CN103761472B (zh) * 2014-02-21 2017-05-24 北京奇虎科技有限公司 基于智能终端设备的应用程序访问方法与装置
US9652328B2 (en) * 2014-05-12 2017-05-16 International Business Machines Corporation Restoring an application from a system dump file
CN105335654B (zh) * 2014-06-27 2018-12-14 北京金山安全软件有限公司 一种Android恶意程序检测和处理方法、装置及设备
CN104268471B (zh) * 2014-09-10 2017-04-26 珠海市君天电子科技有限公司 一种检测面向返程的编程攻击的方法及装置
US9721112B2 (en) * 2014-09-29 2017-08-01 Airwatch Llc Passive compliance violation notifications
WO2016084076A1 (en) * 2014-11-25 2016-06-02 enSilo Ltd. Systems and methods for malicious code detection accuracy assurance
CN104484599B (zh) * 2014-12-16 2017-12-12 北京奇虎科技有限公司 一种基于应用程序的行为处理方法和装置
US10614210B2 (en) * 2015-07-31 2020-04-07 Digital Guardian, Inc. Systems and methods of protecting data from injected malware
CN105224862B (zh) * 2015-09-25 2018-03-27 北京北信源软件股份有限公司 一种office剪切板的拦截方法及装置
CN105279432B (zh) * 2015-10-12 2018-11-23 北京金山安全软件有限公司 一种软件监控处理方法以及装置
CN105678168A (zh) * 2015-12-29 2016-06-15 北京神州绿盟信息安全科技股份有限公司 一种基于栈异常的shellcode检测方法及装置
WO2017166037A1 (zh) * 2016-03-29 2017-10-05 深圳投之家金融信息服务有限公司 一种数据篡改的检测装置及方法
CN107330320B (zh) * 2016-04-29 2020-06-05 腾讯科技(深圳)有限公司 应用进程监控的方法和装置
US9807104B1 (en) * 2016-04-29 2017-10-31 STEALTHbits Technologies, Inc. Systems and methods for detecting and blocking malicious network activity
CN105956462B (zh) * 2016-06-29 2019-05-10 珠海豹趣科技有限公司 一种阻止恶意加载驱动的方法、装置及电子设备
CN106203092B (zh) * 2016-06-30 2019-12-10 珠海豹趣科技有限公司 一种拦截恶意程序关机的方法、装置及电子设备
CN106201811B (zh) * 2016-07-06 2019-03-26 青岛海信宽带多媒体技术有限公司 应用程序的故障恢复方法和终端
CN106411588B (zh) * 2016-09-29 2019-10-25 锐捷网络股份有限公司 一种网络设备管理方法、主设备及管理服务器
CN107959595B (zh) * 2016-10-14 2020-10-27 腾讯科技(深圳)有限公司 一种异常检测的方法、装置及系统
CN108171056A (zh) * 2016-12-08 2018-06-15 武汉安天信息技术有限责任公司 一种自动化判定样本恶意性的检测方法和装置
CN106708734B (zh) * 2016-12-13 2020-01-10 腾讯科技(深圳)有限公司 软件异常检测方法及装置
CN108280346B (zh) * 2017-01-05 2022-05-31 腾讯科技(深圳)有限公司 一种应用防护监控方法、装置以及系统
CN106991324B (zh) * 2017-03-30 2020-02-14 兴华永恒(北京)科技有限责任公司 一种基于内存保护类型监控的恶意代码跟踪识别方法
CN107358071A (zh) * 2017-06-07 2017-11-17 武汉斗鱼网络科技有限公司 防止Flash应用程序中函数非法调用的方法及装置
CN107704356B (zh) * 2017-06-12 2019-06-28 平安科技(深圳)有限公司 异常堆栈信息获取方法、装置及计算机可读存储介质
CN107483274A (zh) * 2017-09-25 2017-12-15 北京全域医疗技术有限公司 服务项目运行状态监控方法及装置
CN108052431A (zh) * 2017-12-08 2018-05-18 北京奇虎科技有限公司 终端程序异常关闭信息处理方法、装置、终端

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109711166A (zh) * 2018-12-17 2019-05-03 北京知道创宇信息技术有限公司 漏洞检测方法及装置
CN109800576A (zh) * 2018-12-29 2019-05-24 360企业安全技术(珠海)有限公司 未知程序异常请求的监控方法、装置、及电子装置
CN109558730A (zh) * 2018-12-29 2019-04-02 360企业安全技术(珠海)有限公司 一种浏览器的安全防护方法及装置
CN109558730B (zh) * 2018-12-29 2020-10-16 360企业安全技术(珠海)有限公司 一种浏览器的安全防护方法及装置
CN109800576B (zh) * 2018-12-29 2021-07-23 360企业安全技术(珠海)有限公司 未知程序异常请求的监控方法、装置、及电子装置
CN112395617A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备
CN112398784B (zh) * 2019-08-15 2023-01-06 奇安信安全技术(珠海)有限公司 防御漏洞攻击的方法及装置、存储介质、计算机设备
CN112398784A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 防御漏洞攻击的方法及装置、存储介质、计算机设备
CN110610086A (zh) * 2019-08-30 2019-12-24 北京卓识网安技术股份有限公司 非法代码识别方法、系统、装置及存储介质
CN110610086B (zh) * 2019-08-30 2021-06-18 北京卓识网安技术股份有限公司 非法代码识别方法、系统、装置及存储介质
CN113632432A (zh) * 2019-09-12 2021-11-09 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
CN113632432B (zh) * 2019-09-12 2023-09-19 奇安信安全技术(珠海)有限公司 一种攻击行为的判定方法、装置及计算机存储介质
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质
CN111859405A (zh) * 2020-07-31 2020-10-30 深信服科技股份有限公司 一种威胁免疫框架、方法、设备及可读存储介质
CN113779561A (zh) * 2021-09-09 2021-12-10 安天科技集团股份有限公司 内核漏洞处理方法、装置、存储介质及电子设备
CN113779561B (zh) * 2021-09-09 2024-03-01 安天科技集团股份有限公司 内核漏洞处理方法、装置、存储介质及电子设备

Also Published As

Publication number Publication date
CN109766701A (zh) 2019-05-17
CN109871691A (zh) 2019-06-11
CN109711172A (zh) 2019-05-03
CN109766701B (zh) 2021-04-27
CN109726560A (zh) 2019-05-07
CN109871691B (zh) 2021-07-20
CN109753806A (zh) 2019-05-14
CN109711168B (zh) 2021-01-15
CN109766698A (zh) 2019-05-17
CN109753806B (zh) 2024-01-19
CN109711168A (zh) 2019-05-03
CN109829307A (zh) 2019-05-31
CN109829309A (zh) 2019-05-31

Similar Documents

Publication Publication Date Title
CN108846287A (zh) 一种检测漏洞攻击的方法及装置
EP3477569B1 (en) Method and system for securing smart contracts in blockchains
US11438349B2 (en) Systems and methods for protecting devices from malware
US10706151B2 (en) Systems and methods for tracking malicious behavior across multiple software entities
JP6224173B2 (ja) マルウェアに対処するための方法及び装置
CN102932329B (zh) 一种对程序的行为进行拦截的方法、装置和客户端设备
Tatang et al. SDN-Guard: Protecting SDN controllers against SDN rootkits
CN109766699A (zh) 操作行为的拦截方法及装置、存储介质、电子装置
Li et al. Security analysis of DeFi: Vulnerabilities, attacks and advances
CN110099044A (zh) 云主机安全检测系统及方法
Zhang et al. Your exploit is mine: instantly synthesizing counterattack smart contract
CN116340931A (zh) 基于rasp的sca联动防护方法、装置、设备及介质
Khan et al. Dynamic Analysis for the Detection of Locked Ether Smart Contracts
US11507673B1 (en) Adaptive cyber-attack emulation
IL258345B2 (en) A rapid framework for ensuring cyber protection, inspired by biological systems
CN116611077A (zh) 基于主机网络包捕获和分析的虚拟补丁防护方法及系统
Klepp Cruel intentions: enhancing androids intent firewall
CN115720150A (zh) 基于rasp的waf联动防护方法、装置、设备及介质
WO2023169780A1 (en) Security method for identifying kill chains
CN117834258A (zh) 一种针对区块链合约的重入攻击检测方法和装置
CN113569250A (zh) 一种恶意智能合约识别方法及装置
Kapoor et al. Detecting and containing malicious services in an intercloud environment
Liu et al. Scenario recognition based on collaborative attack modeling in intrusion detection
Parker Defining automated crime

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181120

WD01 Invention patent application deemed withdrawn after publication