CN112395595B - 指令执行序列的监测方法及装置、存储介质、计算机设备 - Google Patents
指令执行序列的监测方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN112395595B CN112395595B CN201910755859.6A CN201910755859A CN112395595B CN 112395595 B CN112395595 B CN 112395595B CN 201910755859 A CN201910755859 A CN 201910755859A CN 112395595 B CN112395595 B CN 112395595B
- Authority
- CN
- China
- Prior art keywords
- instruction execution
- execution sequence
- white
- matching
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 224
- 238000012544 monitoring process Methods 0.000 title claims abstract description 88
- 230000008569 process Effects 0.000 claims abstract description 177
- 230000002159 abnormal effect Effects 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 239000000725 suspension Substances 0.000 claims description 5
- 238000013515 script Methods 0.000 abstract description 28
- 230000006399 behavior Effects 0.000 abstract description 15
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种指令执行序列的监测方法及装置、存储介质、计算机设备,涉及网络安全技术领域,主要目的在于解决现有由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中的会存在设定的白指令执行序列与黑指令执行序列相同的情况的问题。包括:配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;若为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;若匹配,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
Description
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种指令执行序列的监测方法及装置、存储介质、计算机设备。
背景技术
随着网络安全的漏洞防护体系的快速升级,针对不同的漏洞监控需要预先配置安全的指令执行序列与危险的指令执行序列存储至指令执行序列规则库中,即指令执行序列的“黑与白”。
目前,由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中会存在设定的白指令执行序列与黑指令执行序列相同的情况,导致在对监测点的指令执行序列进行匹配时产生误报,无法准确监测指令执行序列的安全性,影响漏洞的防护。
发明内容
有鉴于此,本发明提供一种指令执行序列的监测方法及装置、存储介质、计算机设备,主要目的在于解决现有由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中的会存在设定的白指令执行序列与黑指令执行序列相同的情况,导致在对监测点的指令执行序列进行匹配时产生误报,无法准确监测指令执行序列的安全性的问题。
依据本发明一个方面,提供了一种指令执行序列的监测方法,包括:
配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
进一步地,所述从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层包括:
若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找所述指令执行序列的匹配结果;
若匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
进一步地,所述配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程之前,所述方法还包括:
根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
进一步地,所述根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库包括:
当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;
若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;
根据匹配结果生成指令执行序列匹配数据库。
进一步地,所述方法还包括:
若匹配结果为匹配成功,则放行所述进程。
进一步地,所述方法还包括:
若不匹配第一预设白指令执行序列,则放行所述进程。
进一步地,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块。
依据本发明一个方面,提供了一种指令执行序列的监测装置,包括:
挂起模块,用于配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
判断模块,用于若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
输出模块,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
进一步地,所述输出模块包括:
查找单元,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找所述指令执行序列的匹配结果;
输出单元,用于若匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
进一步地,所述装置还包括:
生成模块,用于根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
进一步地,所述生成模块包括:
第一判断单元,用于当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;
第二判断单元,用于若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;
生成单元,用于根据匹配结果生成指令执行序列匹配数据库。
进一步地,所述装置还包括:
放行模块,用于若匹配结果为匹配成功,则放行所述进程。
进一步地,所述放行模块,还用于若不匹配第一预设白指令执行序列,则放行所述进程。
进一步地,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块。
根据本发明的又一方面,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述指令执行序列的监测方法对应的操作。
根据本发明的再一方面,提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述指令执行序列的监测方法对应的操作。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供了一种指令执行序列的监测方法及装置、存储介质、计算机设备,与现有由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中的会存在设定的白指令执行序列与黑指令执行序列相同的情况相比,本发明实施例通过挂起监测到执行目标监测事件的进程,若判断进程为预设黑白特征等同进程,则判断进程的指令执行序列是否匹配第一预设白指令执行序列,若判断结果为是,则查找指令执行序列位于指令执行序列匹配数据库中的匹配结果,若匹配结果为不成功,则将进程进行输出,实现对于黑指令执行序列与白指令执行序列相同的进程中的指令执行序列进行防护的目的,避免监测指令执行序列时由于黑白指令执行序列规范相同而因此的监测误报,提高监测指令执行序列的安全性、准确性,从而提高漏洞防护的效率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种指令执行序列的监测方法流程图;
图2示出了本发明实施例提供的另一种指令执行序列的监测方法流程图;
图3示出了本发明实施例提供的一种监控指令执行序列的流程示意图;
图4示出了本发明实施例提供的一种指令执行序列的监测装置框图;
图5示出了本发明实施例提供的另一种指令执行序列的监测装置框图;
图6示出了本发明实施例提供的一种终端结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种指令执行序列的监测方法,如图1所示,所述方法包括:
101、配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程。
本发明实施例中,为了对脚本线程等黑白指令执行序列特征相同的受监测对象执行不同的事件进行监测,预先将调用脚本线程所执行的事件作为监测点进行配置,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块,因此,当监测到执行目标监测事件的进程时,挂起此进程。其中,挂起进程的方法可以通过hook函数钩取此进程,以便对进程中所执行的指令执行序列进程获取。另外,在对目标监测事件进行监测时,需要配置监测目标监测事件中的API调用参数,当监测到API调用参数时,挂起目标监测事件的进程,以便对此进程的指令执行序列进行监测。
102、若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列。
其中,所述预设黑白特征等同进程为需要将安全、危险特征进行组合规则配置的进程,即将白指令执行序列与黑指令执行序列配置为相同特征规则的进程,如黑指令特征序列、白指令执行序列相同的IE进程,通过配置文件进行设定。当进程为预设黑白特征等同进程时,判断进程的指令执行序列是否匹配第一预设白指令执行序列,其中,由于当前的指令执行序列为内核中的,在进程的内核模式中,对进程的应用层指令执行序列进行回溯,从而获取到指令执行序列。
需要说明的是,所述第一预设白指令执行序列为根据脚本执行行为对应设置的安全的指令执行序列,本发明实施例不做具体限定。
103、若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
对于本发明实施例,若进程中的指令执行序列匹配预设白指令执行序列,则为了进一步的确定是否为安全的进程,根据此指令执行序列对应于指令执行序列匹配数据库中的匹配结果确定将确定为异常的指令执行序列进行输出。其中,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果,第二预设白指令执行序列可以与第一预设指令执行序列相同,也可以不同,而对于生成指令执行序列匹配数据库中与新启动的线程中指令执行序列进行匹配的第二预设白指令执行序列,可以根据防护需要及防护场景等条件进行设置,本发明实施例不做具体限定。
本发明提供了一种指令执行序列的监测方法,与现有由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中的会存在设定的白指令执行序列与黑指令执行序列相同的情况相比,本发明实施例通过挂起监测到执行目标监测事件的进程,若判断进程为预设黑白特征等同进程,则判断进程的指令执行序列是否匹配第一预设白指令执行序列,若判断结果为是,则查找指令执行序列位于指令执行序列匹配数据库中的匹配结果,若匹配结果为不成功,则将指令执行序列确定为异常进行输出,实现对于黑指令执行序列与白指令执行序列相同的进程中的指令执行序列进行防护的目的,避免监测指令执行序列时由于黑白指令执行序列规范相同而因此的监测误报,提高监测指令执行序列的安全性、准确性,从而提高漏洞防护的效率。
本发明实施例提供了另一种指令执行序列的监测方法,如图3所示,所述方法包括:
201、根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
对于本发明实施例,为了在进程的指令执行序列匹配第一预设白指令执行序列后,增加一层防护机制,预先根据根据线程启动时的指令执行序列匹配结果生成序列匹配数据库,以便从指令执行序列匹配数据库中查找到所述指令执行序列对应的匹配结果,即为与第二白指令执行序列进行匹配的匹配结果,本发明实施例不做具体限定。
对于本发明实施例,为了进一步地限定及说明,步骤201具体可以为:当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;根据匹配结果生成指令执行序列匹配数据库。
当监测到启动新线程时,判断新启动的线程对应的进程是否为预设黑白特征等同进程,若为预设黑白特征等同进程,则判断进程中的指令执行序列是否与第二预设白指令执行序列匹配,根据匹配结果,即匹配成功或匹配不成功的匹配结果,生成指令执行序列匹配数据库。其中,第二预设白指令执行序列可以与第一预设指令执行序列相同,也可以不同,而对于生成指令执行序列匹配数据库中与新启动的线程中指令执行序列进行匹配的第二预设白指令执行序列,可以根据防护需要及防护场景等条件进行设置,本发明实施例不做具体限定。
202、配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程。
本步骤与图1所示的步骤101方法相同,在此不再赘述。
203、若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列。
本步骤与图1所示的步骤102方法相同,在此不再赘述。
204a、若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找所述指令执行序列的匹配结果。
本发明实施例中,当匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找指令执行序列预先与第二预设白指令执行序列进行匹配的结果,以便增加防护效力。
进一步地,与步骤204a并列的步骤204b、若不匹配第一预设白指令执行序列,则放行所述进程。
若不匹配第一预设白指令执行序列,则说明进程所执行的指令执行序列为安全的,无需进行防护监测,因此,对进程进行放行。
对于本发明实施例,步骤204a之后的步骤205a、若匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
若从指令执行序列匹配数据库中查找到的匹配结果为匹配不成功,则说明当前进程需要进行进一步防护,因此,将确定为异常的指令执行序列进行输出至应用层再次进行防护的判断,以便应用层进行进一步地判断是否进行拦截或放行,如图3所示。
对于本发明实施例,与步骤205a并列的步骤205b、若匹配结果为匹配成功,则放行所述进程。
若从指令执行序列匹配数据库中查找到匹配结果为匹配成功,则进程为安全进程无需进行防护监测,因此,将进程进行放行。
另外,对于本发明实施例,为了进一步地根据指令执行序列识别脚本行为,可以判断所述指令执行序列是否返回脚本模块执行,若所述指令执行序列未返回脚本模块执行,则根据所述进程的线程创建状态确定所述指令执行序列对应的脚本行为,并根据所述脚本行为对所述进程进行处理。
其中,对于本发明实施例,由于存在恶意目的的指令执行序列会预期对脚本模块进行对应的操作,因此,为了判断指令执行序列对应的脚本行为是否执行恶意行为,通过判断指令执行序列是否返回脚本模块执行。具体的,判断是否返回的脚本模块包括提供运行.sct脚本文件功能接口的脚本模块scrobj.dll,提供脚本读写文件接口的脚本模块scrrun.dll,以及jscript.dll、vbscript.dll,本发明实施例不做具体限定。另外,由于对于未返回脚本模块执行的指令执行序列仍然会出现被攻击或者被恶意修改的情况,因此,若指令执行序列未返回脚本模块执行,则根据进程的线程创建状态确定指令执行序列对应的脚本行为,以便根据脚本行为对进程进行处理。其中,所述线程创建状态即为是否在脚本模块中创建线程事件,以便根据创建线程状态或未创建线程状态确定脚本行为,从而对进程执行输出处理或放行处理。
本发明提供了另一种指令执行序列的监测方法,本发明实施例通过挂起监测到执行目标监测事件的进程,若判断进程为预设黑白特征等同进程,则判断进程的指令执行序列是否匹配第一预设白指令执行序列,若判断结果为是,则查找指令执行序列位于指令执行序列匹配数据库中的匹配结果,若匹配结果为不成功,则将指令执行序列确定为异常进行输出,实现对于黑指令执行序列与白指令执行序列相同的进程中的指令执行序列进行防护的目的,避免监测指令执行序列时由于黑白指令执行序列规范相同而因此的监测误报,提高监测指令执行序列的安全性、准确性,从而提高漏洞防护的效率。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种指令执行序列的监测装置,如图4所示,该装置包括:挂起模块31、判断模块32、输出模块33。
挂起模块31,用于配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
判断模块32,用于若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
输出模块33,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
本发明提供了一种指令执行序列的监测装置,与现有由于不同脚本、进程等受监测对象中指令执行序列所执行的行为不同,规则库中的会存在设定的白指令执行序列与黑指令执行序列相同的情况相比,本发明实施例通过挂起监测到执行目标监测事件的进程,若判断进程为预设黑白特征等同进程,则判断进程的指令执行序列是否匹配第一预设白指令执行序列,若判断结果为是,则查找指令执行序列位于指令执行序列匹配数据库中的匹配结果,若匹配结果为不成功,则将指令执行序列确定为异常进行输出,实现对于黑指令执行序列与白指令执行序列相同的进程中的指令执行序列进行防护的目的,避免监测指令执行序列时由于黑白指令执行序列规范相同而因此的监测误报,提高监测指令执行序列的安全性、准确性,从而提高漏洞防护的效率。
进一步的,作为对上述图2所示方法的实现,本发明实施例提供了另一种指令执行序列的监测装置,如图5所示,该装置包括:挂起模块41、判断模块42、输出模块43、生成模块44、放行模块45。
挂起模块41,用于配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
判断模块42,用于若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
输出模块43,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
进一步地,所述输出模块43包括:
查找单元4301,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找所述指令执行序列的匹配结果;
输出单元4302,用于若匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层。
进一步地,所述装置还包括:
生成模块44,用于根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
进一步地,所述生成模块44包括:
第一判断单元4401,用于当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;
第二判断单元4402,用于若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;
生成单元4403,用于根据匹配结果生成指令执行序列匹配数据库。
进一步地,所述装置还包括:
放行模块45,用于若匹配结果为匹配成功,则放行所述进程。
进一步地,所述放行模块45,还用于若不匹配第一预设白指令执行序列,则放行所述进程。
进一步地,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块。
本发明提供了另一种指令执行序列的监测装置,本发明实施例通过挂起监测到执行目标监测事件的进程,若判断进程为预设黑白特征等同进程,则判断进程的指令执行序列是否匹配第一预设白指令执行序列,若判断结果为是,则查找指令执行序列位于指令执行序列匹配数据库中的匹配结果,若匹配结果为不成功,则将指令执行序列确定为异常进行输出,实现对于黑指令执行序列与白指令执行序列相同的进程中的指令执行序列进行防护的目的,避免监测指令执行序列时由于黑白指令执行序列规范相同而因此的监测误报,提高监测指令执行序列的安全性、准确性,从而提高漏洞防护的效率。
根据本发明一个实施例提供了一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的指令执行序列的监测方法。
图6示出了根据本发明一个实施例提供的一种计算机设备的结构示意图,本发明具体实施例并不对计算机设备的具体实现做限定。
如图6所示,该计算机设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述指令执行序列的监测方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算机设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行以下操作:
配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的资产数据的管理方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (14)
1.一种指令执行序列的监测方法,其特征在于,包括:
配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
2.根据权利要求1所述的方法,其特征在于,所述配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程之前,所述方法还包括:
根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
3.根据权利要求2所述的方法,其特征在于,所述根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库包括:
当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;
若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;
根据匹配结果生成指令执行序列匹配数据库。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若匹配结果为匹配成功,则放行所述进程。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若不匹配第一预设白指令执行序列,则放行所述进程。
6.根据权利要求5所述的方法,其特征在于,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块。
7.一种指令执行序列的监测装置,其特征在于,包括:
挂起模块,用于配置目标监测事件中的API调用参数,当监测到所述API调用参数被调用时,挂起执行所述目标监测事件的进程;
判断模块,用于若所述进程为预设黑白特征等同进程,则判断所述进程的指令执行序列是否匹配第一预设白指令执行序列;
输出模块,用于若匹配第一预设白指令执行序列,则从指令执行序列匹配数据库中查找与所述指令执行序列对应的匹配结果,若所述匹配结果为匹配不成功,则将所述指令执行序列确定为异常指令执行序列,并输送至应用层,所述指令执行序列匹配数据库中存储有不同进程的指令执行序列与第二预设白指令执行序列进行特征匹配的匹配结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
生成模块,用于根据线程启动时指令执行序列的匹配结果生成指令执行序列匹配数据库。
9.根据权利要求8所述的装置,其特征在于,所述生成模块包括:
第一判断单元,用于当监测到启动线程时,判断所述线程对应的进程是否为预设黑白特征等同进程;
第二判断单元,用于若为预设黑白特征等同进程,则判断所述进程中的指令执行序列是否匹配第二预设白指令执行序列;
生成单元,用于根据匹配结果生成指令执行序列匹配数据库。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
放行模块,用于若匹配结果为匹配成功,则放行所述进程。
11.根据权利要求10所述的装置,其特征在于,
所述放行模块,还用于若不匹配第一预设白指令执行序列,则放行所述进程。
12.根据权利要求11所述的装置,其特征在于,所述目标监测事件包括创建进程、读写文件、注册表修改、创建线程、加载模块。
13.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-6中任一项所述的指令执行序列的监测方法对应的操作。
14.一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6中任一项所述的指令执行序列的监测方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755859.6A CN112395595B (zh) | 2019-08-15 | 2019-08-15 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755859.6A CN112395595B (zh) | 2019-08-15 | 2019-08-15 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112395595A CN112395595A (zh) | 2021-02-23 |
| CN112395595B true CN112395595B (zh) | 2023-08-01 |
Family
ID=74601802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755859.6A Active CN112395595B (zh) | 2019-08-15 | 2019-08-15 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112395595B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| US8370931B1 (en) * | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
| CN106203077A (zh) * | 2016-06-28 | 2016-12-07 | 北京金山安全软件有限公司 | 一种复制信息的处理方法、装置及电子设备 |
| CN109635565A (zh) * | 2018-11-28 | 2019-04-16 | 江苏通付盾信息安全技术有限公司 | 恶意程序的检测方法、装置、计算设备及计算机存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10387649B2 (en) * | 2015-10-31 | 2019-08-20 | Quick Heal Technologies Private Limited | Detecting malware when executing in a system |
| WO2018008024A1 (en) * | 2016-07-07 | 2018-01-11 | Deceptive Bytes Ltd. | System and method for end-point malware prevention solution |
-
2019
- 2019-08-15 CN CN201910755859.6A patent/CN112395595B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8370931B1 (en) * | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN106203077A (zh) * | 2016-06-28 | 2016-12-07 | 北京金山安全软件有限公司 | 一种复制信息的处理方法、装置及电子设备 |
| CN109635565A (zh) * | 2018-11-28 | 2019-04-16 | 江苏通付盾信息安全技术有限公司 | 恶意程序的检测方法、装置、计算设备及计算机存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于运行时行为序列分析的恶意行为检测系统;姜冲;李宁;刘渊;董碧丹;;计算机工程与设计(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112395595A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109583202B (zh) | 用于检测进程的地址空间中的恶意代码的系统和方法 | |
| US11055168B2 (en) | Unexpected event detection during execution of an application | |
| US9910983B2 (en) | Malware detection | |
| CN114676424B (zh) | 一种容器逃逸检测与阻断方法、装置、设备及存储介质 | |
| US9787699B2 (en) | Malware detection | |
| CN106415577B (zh) | 用于识别可疑事件来源的系统和方法 | |
| US20190121985A1 (en) | Detecting vulnerabilities in applications during execution | |
| JP2018200642A (ja) | 脅威検出プログラム、脅威検出方法および情報処理装置 | |
| CN102984134B (zh) | 安全防御系统 | |
| CN102984135B (zh) | 安全防御方法、装置与系统 | |
| CN112395593B (zh) | 指令执行序列的监测方法及装置、存储介质、计算机设备 | |
| CN114139154A (zh) | 一种恶意代码检测方法、装置、计算机和可读存储介质 | |
| CN112395595B (zh) | 指令执行序列的监测方法及装置、存储介质、计算机设备 | |
| JP2015082325A (ja) | エクスプロイト検出/防止 | |
| CN112395603B (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
| CN108959915B (zh) | 一种rootkit检测方法、装置及服务器 | |
| CN111259392A (zh) | 一种基于内核模块的恶意软件拦截方法及装置 | |
| CN113312623B (zh) | 访问控制中的进程检测方法、装置、电子设备和存储介质 | |
| CN112395149B (zh) | 脚本行为的识别方法及装置、存储介质、计算机设备 | |
| CN113760393A (zh) | 一种动态链接库的防护方法、装置、设备和介质 | |
| CN112580036B (zh) | 病毒防御的优化方法及装置、存储介质、计算机设备 | |
| JP7476140B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| US20240346145A1 (en) | Real-time shellcode detection and prevention | |
| US20230401339A1 (en) | Monitoring range determination device, monitoring range determination method, and computer readable medium | |
| CN114329540A (zh) | 文件分发的处理方法及装置、存储介质、终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |