CN115643021B - 基于动态编码的终端防护方法及装置 - Google Patents
基于动态编码的终端防护方法及装置 Download PDFInfo
- Publication number
- CN115643021B CN115643021B CN202211190323.2A CN202211190323A CN115643021B CN 115643021 B CN115643021 B CN 115643021B CN 202211190323 A CN202211190323 A CN 202211190323A CN 115643021 B CN115643021 B CN 115643021B
- Authority
- CN
- China
- Prior art keywords
- security module
- instruction
- server
- client
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了基于动态编码的终端防护方法及装置。该方法包括:客户端向服务端发送接入请求;当服务端通过接入请求时,获取客户端的终端信息和会话信息,将终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对安全模块进行签名和加密,并将加密后的安全模块下发至客户端;客户端接收安全模块,依次对安全模块进行解密和签名验证,若签名验证通过,则执行安全模块,以使安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端;服务端接收检测结果,并根据检测结果判断客户端是否存在异常。该方法有效提高客户端与服务端交互时的安全防护性能。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于动态编码的终端防护方法及装置。
背景技术
随着信息技术快速发展,非法外部接入这一现象逐渐出现在金融证券行业,安全风险日益突出。特别是近年来,“自动打新”、“量化交易程序”、“自动炒股”等软件屡见不鲜,这些程序通过技术手段非法接入证券公司网上交易系统,不但影响了证券公司正常的生产经营活动,还可能截取投资者的交易数据,或为场外配资活动提供便利,给整个资本市场带来很大风险。
这些非法外部接入程序通常被称为“外挂”软件,是外挂制作者通过修改交易终端程序及数据而为投资者实现特定目的(如转换为外接接口等)进而谋取利益的作弊程序或软件,即利用电脑技术针对一个或多个软件进行非原定操作,篡改交易终端原本正常的设定和规则拓宽其应用范围,通过改变软件的部分程序制作而成的恶意程序。为维护证券公司信息系统安全稳定运行,保障投资者合法权益,提高网上交易系统安全防护能力尤为重要。
发明内容
本发明实施例提供了一种基于动态编码的终端防护方法及装置,旨在解决现有技术中的网上交易系统安全防护能力较弱的问题。
第一方面,本发明实施例提供了一种基于动态编码的终端防护方法,其包括:
客户端向服务端发送接入请求;
当服务端通过所述接入请求时,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;
客户端接收所述安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
服务端接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置。
第二方面,本发明实施例提供了一种基于动态编码的终端防护装置,其包括:
客户端,用于向服务端发送接入请求;以及用于接收安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
服务端,用于通过所述接入请求,获取客户端的终端信息和会话信息,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;以及接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置。
本发明实施例提供了基于动态编码的终端防护方法及装置。该方法包括:客户端向服务端发送接入请求;当服务端通过接入请求时,获取客户端的终端信息和会话信息,将终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对安全模块进行签名和加密,并将加密后的安全模块下发至客户端;客户端接收安全模块,依次对安全模块进行解密和签名验证,若签名验证通过,则执行安全模块,以使安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;服务端接收检测结果,并根据检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据异常风险程度进行对应的风险处置。该方法服务端通过将终端信息和会话信息作为编码参数对安全模块进行动态编码,编码后的安全模块有效提高破解难度,可有效防止被篡改和破解,服务端对编码后的安全模块签名和加密,可有效防止安全模块发送至客户端的途中被篡改,有效保证安全模块的完整性,有效提高客户端与服务端交互时的安全防护性能。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于动态编码的终端防护方法的流程示意图;
图2为本发明实施例提供的基于动态编码的终端防护装置的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1为本发明实施例提供的基于动态编码的终端防护方法的流程示意图,该方法包括步骤S110~S140。
步骤S110、客户端向服务端发送接入请求;
本实施例中,当客户端需要接入服务端时,需向服务端发送接入请求,发送方式为通过无线通信方式。
步骤S120、当服务端通过所述接入请求时,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;
本实施例中,当服务端接收并通过客户端发送的接入请求时,获取客户端的终端信息和会话信息,加载安全模块,以终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,使编码后的安全模块与终端信息和会话信息高度绑定,有效防止数据伪造。动态编码完成后,使用PKI进行代码签名,然后对安全模块进行加密,将加密后的安全模块和签名数据一同下发至客户端。其中,PKI为一种公钥基础设施,是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
在一实施例中,步骤S120还包括:
服务端按预设规则对黑白名单数据更新,其中,所述黑白名单数据至少包括恶意程序名称、恶意模块名称和特征信息;
服务端读取最新的黑白名单数据,并将最新的所述黑白名单数据填入所述安全模块,其中,所述安全模块设置有数据扫描功能以及预留用于存储所述黑白名单数据的数据存储空间。
本实施例中,为了识别非法程序,服务端日常收集恶意程序名称、恶意模块名称和特征信息等明确指向目标,用户还可以根据需要添加相应的程序名称、进程名称、窗口名称等指定收集,其中,特征信息包括特征码和互斥体名称等其他具有强指向性的信息。将收集得到的数据更新到服务端预设的黑白名单列表内。当服务端对安全模块进行动态编码时,读取当前最新的黑白名单列表内的黑白名单数据,将最新的黑白名单数据填入安全模块中。其中,动态编码安全模块时,安全模块需设有数据扫描功能。此外,为了避免传统的黑白名单检测方案中,将黑白名单数据固化于安全模块内部,导致更新黑白名单数据时都需重新编译安全模块,本申请在编码安全模块时预留有用于存储黑白名单数据的数据存储空间。黑白名单数据来源于黑白名单列表,当需要更新黑白名单数据时,直接更新黑白名单列表即可,无需重新编译安全模块。相较于传统方法,本申请在黑白名单数据的更新上更加快速,且省时省力。
进一步的,安全模块下发至客户端,客户端执行安全模块时,启动数据扫描功能,根据黑白名单数据扫描当前运行环境是否存在对应的恶意程序名称、恶意模块名称和特征码,并生成扫描结果。
在一实施例中,步骤S120包括:
服务端构建用于改变代码特征和结构的新功能代码,将所述新功能代码填入所述安全模块。
本实施例中,服务端对安全模块进行动态编码时,可插入用于改变代码特征和结构的新功能代码。使用不同的功能框架生成的新功都能代码也不相同,从而实现安全模块的功能不确定性,有效防止破解行为。
进一步的,服务端构建用于改变代码特征和结构的新功能代码的过程如下:基于当前时间数据和随机数,按随机计算规则生成随机种子(如randA);然后根据预置算法构造规则和随机种子生成一个摘要算法集[算法1、算法2、…、算法n](摘要算法集包括多个不同的摘要算法,每个摘要算法包含使用到的算法类型(如SM3、MD5、DES3等)和摘要次数等数据),并从摘要算法集中选取一个摘要算法作为目标算法,即:实际采用的目标算法=算法列表[算法n];绑定终端信息和会话信息,将绑定的终端信息和会话信息作为目标算法的摘要参数,并执行目标算法,使安全模块与本次的会话绑定得到算法数据;将算法数据和摘要参数传入至功能框架,使功能框架依据CPU指令集规则构造payload,用以下发执行。其中,payload为有效负载,是数据传输中传输的实际信息。
在一实施例中,步骤S120还包括:
服务端对所述安全模块的指令集按照CPU指令集规则进行解析,对每一指令的指令代码进行指令替换处理和指令混淆处理。
本实施例中,服务端对安全模块的指令集按照CPU指令集规则进行解析,进行同功能指令替换、混淆等操作,改变安全模块指令集与特征码,从而干扰分析人员分析。
在一实施例中,对每一指令的指令代码进行指令替换处理和指令混淆处理,包括:
解析每一指令的功能含义,并根据所述功能含义确定相同功能含义的替换指令;
将每一指令的指令代码替换为对应替换指令的指令代码。
其中,指令替换是指在解析出具体指令后,根据指令集功能,构造出功能相同但指令集完全不同的代码。指令替换可视为指令混淆的一种类型,但不同点在于,指令混淆相较于单纯的等价替换,可以对指令集进行复杂化构造。因不同的CPU指令集架构有所不同,以x86的CPU指令集为例:
原始指令集为:83 C0 01,对应汇代码为:add eax,1。该原始指令集解析含义为对寄存器eax进行加1操作。替换指令集为:83 E8 FF,对应汇编代码为:sub eax,FFFFFFFF。该替换指令集解析含义为对寄存器eax进行减-1操作。两个指令集功能完全等价,但指令代码有明显差异。以原始指令集“83 C0 01”为例进行混淆,得到的指令集为:53 8B D8 83 C301 8B C3 5B,执行后结果同样为对寄存器eax进行加1操作。
需要知道的是,单个指令集有时不好处理,因此可摘取数个指令集组成指令块,以指令块为单位进行解析。一般情况下,混淆处理的内容为指令块,单个指令只能说明指令功能,无法说明含义与场景,故需要摘取多个指令集进行解析,分析指令块功能。指令替换多用于单条指令,混淆多用于指令块。
在一实施例中,对每一指令的指令代码进行指令替换处理和指令混淆处理,包括:
对每一指令的指令代码进行花指令添加;
或者,对每一指令的指令代码进行控制流平坦化;
或者,对每一指令的指令代码进行函数粉碎处理。
进一步的,在实际的应用场景中,所进行的指令集混淆往往更为复杂,涉及范围不仅只包括简单的数据运算处理,还包括花指令、控制流平坦化、函数粉碎等。其中,花指令是干扰逆向分析的一种方法,用于加大分析难度、干扰反编译程序识别。花指令按照特性可分为两类,垃圾指令与干扰指令。垃圾指令是指在程序运行过程中会被正常执行的花指令代码,但这些代码与程序功能无关,执行前后的堆栈环境等数据不会发生改变,可以被反汇编引擎正常识别。干扰指令是指通过有意构造来干扰反编译器,使其无法分析出正确的函数结构,提高静态分析难度。
控制流平坦化是模糊代码块关系的一种方法,其基本思想是通过一个主分发器来控制程序代码块的执行流程,打乱函数代码块间的跳转关系,干扰反编译程序的识别。该方法会解析模块内部的跳转数据,将其打乱,然后按照switch、case结构使用分发器进行重构。假定原来的执行流程中,代码块1执行完之后转入代码块2,代码块2执行完后转入代码块5。重构后代码块1执行完进入主分发器,由主分发器转入代码块2,代码块2执行完后转入主控制器,由主控制器转入代码块5。根据执行流程可以看出,重构后已无法正常识别模块间的执行关系。
函数粉碎是重构代码块的一种方法,用于破坏代码连贯性。该方法会将函数切割为若干个代码块,然后将代码块顺序打乱,使用跳转指令按照原始执行顺序进行重构。假定一个函数可以分为3个代码块,在内存中顺序排列为:代码块1,代码块2,代码块3。在重构时,将3个代码块乱序排列:代码块3,代码块1,代码块2,然后使用跳转指令将3个代码块进行连接重构:代码块1跳转代码、代码块3、代码块1、代码块2、代码块3跳转代码。从代码块排序可以看出,函数内部代码块已被打乱。
步骤S130、客户端接收所述安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
本实施例中,客户端接收到安全模块后,对安全模块进行解密和签名验证,若签名验证通过,则构造安全模块的运行环境,执行安全模块,以使安全模块进行安全检测。安全模块在运行过程中,会对检测结果进行保存,待执行完成后,将执行结果回传给服务端。若签名验证失败,则说明数据遭到篡改,中断连接。
步骤S140、服务端接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置。
本实施例中,服务端接收检测结果,根据检测结果判断客户端是否存在异常。若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置。其中,服务端根据检测结果对应的异常程度标签,确认客户端存在异常的异常风险程度,判断异常风险程度是否为预置高级风险;若是,则断开服务端与客户端的连接;若否,则允许客户端继续接入。需要知道的是,服务端预设有检测结果对应的多种异常风险程度的标签,根据检测结果的不同,对应不同异常风险程度的标签。此外,对异常信息以及处置结果进行留存,以便后续处理进行排查和/或溯源。
例如,根据检测结果对应的异常风险程度,若当前检测结果对应的异常风险程度为高级风险,则断开服务端与客户端的连接;若当前检测结果对应的异常风险程度不为高级风险,则允许客户端继续接入。
该方法服务端通过将终端信息和会话信息作为编码参数对安全模块进行动态编码,编码后的安全模块有效提高破解难度,可有效防止被篡改和破解,服务端对编码后的安全模块签名和加密,可有效防止安全模块发送至客户端的途中被篡改,有效保证安全模块的完整性,有效提高客户端与服务端交互时的安全防护性能。
本发明实施例还提供一种基于动态编码的终端防护装置,该基于动态编码的终端防护装置用于执行前述基于动态编码的终端防护方法的任一实施例。具体地,请参阅图2,图2是本发明实施例提供的基于动态编码的终端防护装置的示意性框图。该基于动态编码的终端防护装置100可以配置于服务器中。
如图2所示,基于动态编码的终端防护装置100包括客户端110、服务端120。
客户端110,用于向服务端发送接入请求;以及用于接收安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
服务端120,用于通过所述接入请求,获取客户端的终端信息和会话信息,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;以及接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种基于动态编码的终端防护方法,其特征在于,包括:
客户端向服务端发送接入请求;
当服务端通过所述接入请求时,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;
客户端接收所述安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
服务端接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置;
所述将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,包括:
服务端按预设规则对黑白名单数据进行更新,其中,所述黑白名单数据至少包括恶意程序名称、恶意模块名称和特征信息,所述特征信息至少包括特征码;
服务端读取最新的黑白名单数据,并将最新的所述黑白名单数据填入所述安全模块,其中,所述安全模块设置有数据扫描功能以及预留用于存储所述黑白名单数据的数据存储空间。
2.根据权利要求1所述的基于动态编码的终端防护方法,其特征在于,所述执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,包括:
所述安全模块启动数据扫描功能,并根据黑白名单数据扫描当前运行环境是否存在对应的恶意程序、恶意模块和特征码,并生成扫描结果。
3.根据权利要求1所述的基于动态编码的终端防护方法,其特征在于,所述将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,包括:
服务端构建用于改变代码特征和结构的新功能代码,将所述新功能代码填入所述安全模块。
4.根据权利要求3所述的基于动态编码的终端防护方法,其特征在于,所述构建用于改变代码特征和结构的新功能代码,将所述新功能代码填入所述安全模块,包括:
服务端基于当前时间数据和随机数生成随机种子;
服务端根据预置算法构造规则和所述随机种子生成一个摘要算法集,并从所述摘要算法集中选取一个摘要算法作为目标算法,所述摘要算法集包括多个不同的摘要算法;
绑定所述终端信息和会话信息,将绑定的所述终端信息和会话信息作为所述目标算法的摘要参数,并执行所述目标算法,使所述安全模块与本次的会话绑定得到算法数据;
将所述算法数据和摘要参数传入至功能框架,使所述功能框架依据CPU指令集规则构造有效负载。
5.根据权利要求1所述的基于动态编码的终端防护方法,其特征在于,所述将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,包括:
服务端对所述安全模块的指令集按照CPU指令集规则进行解析,对每一指令的指令代码进行指令替换处理和指令混淆处理。
6.根据权利要求5所述的基于动态编码的终端防护方法,其特征在于,所述对每一指令的指令代码进行指令替换处理和指令混淆处理,包括:
解析每一指令的功能含义,并根据所述功能含义确定相同功能含义的替换指令;
将每一指令的指令代码替换为对应替换指令的指令代码。
7.根据权利要求5所述的基于动态编码的终端防护方法,其特征在于,所述对每一指令的指令代码进行指令替换处理和指令混淆处理,包括:
对每一指令的指令代码进行花指令添加;
或者,对每一指令的指令代码进行控制流平坦化;
或者,对每一指令的指令代码进行函数粉碎处理。
8.根据权利要求1所述的基于动态编码的终端防护方法,其特征在于,所述根据所述异常风险程度进行对应的风险处置,包括:
服务端确认客户端存在异常的异常风险程度,判断所述异常风险程度是否为预置高级风险;
若是,则断开服务端与客户端的连接;
若否,则允许客户端继续接入。
9.一种基于动态编码的终端防护装置,其特征在于,包括:
客户端,用于向服务端发送接入请求;以及用于接收安全模块,依次对所述安全模块进行解密和签名验证,若签名验证通过,则执行所述安全模块,以使所述安全模块进行安全检测并得到检测结果,并将检测结果发送至服务端,若签名验证失败,则中断连接;
服务端,用于通过所述接入请求,获取客户端的终端信息和会话信息,将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,得到编码后的安全模块,依次对所述安全模块进行签名和加密,并将所述加密后的安全模块下发至客户端;以及接收所述检测结果,并根据所述检测结果判断客户端是否存在异常,若存在异常,则确定异常风险程度,并根据所述异常风险程度进行对应的风险处置;
所述将所述终端信息和会话信息作为编码参数对加载的安全模块进行动态编码,包括:
服务端按预设规则对黑白名单数据进行更新,其中,所述黑白名单数据至少包括恶意程序名称、恶意模块名称和特征信息,所述特征信息至少包括特征码;
服务端读取最新的黑白名单数据,并将最新的所述黑白名单数据填入所述安全模块,其中,所述安全模块设置有数据扫描功能以及预留用于存储所述黑白名单数据的数据存储空间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211190323.2A CN115643021B (zh) | 2022-09-28 | 2022-09-28 | 基于动态编码的终端防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211190323.2A CN115643021B (zh) | 2022-09-28 | 2022-09-28 | 基于动态编码的终端防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115643021A CN115643021A (zh) | 2023-01-24 |
| CN115643021B true CN115643021B (zh) | 2023-07-21 |
Family
ID=84942638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211190323.2A Active CN115643021B (zh) | 2022-09-28 | 2022-09-28 | 基于动态编码的终端防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115643021B (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9294502B1 (en) * | 2013-12-06 | 2016-03-22 | Radware, Ltd. | Method and system for detection of malicious bots |
| CN104091100B (zh) * | 2014-07-15 | 2017-02-15 | 电子科技大学 | 一种基于编译中间结果的软件保护方法 |
| CN107241306B (zh) * | 2017-01-06 | 2020-11-06 | 深圳市九州安域科技有限公司 | 一种人机识别方法、服务端、客户端及人机识别系统 |
| CN110147329B (zh) * | 2019-05-24 | 2022-06-14 | 武汉瓯越网视有限公司 | 一种动态检测模拟器的方法、装置及终端 |
-
2022
- 2022-09-28 CN CN202211190323.2A patent/CN115643021B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115643021A (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112926982B (zh) | 一种交易数据处理方法、装置、设备及存储介质 | |
| CN105051750B (zh) | 用于加密文件系统层的系统和方法 | |
| CN1833398B (zh) | 安全数据解析器方法和系统 | |
| US8396218B2 (en) | Cryptographic module distribution system, apparatus, and program | |
| US20080209231A1 (en) | Contents Encryption Method, System and Method for Providing Contents Through Network Using the Encryption Method | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN109194625A (zh) | 一种基于云端服务器的客户端应用保护方法、装置及存储介质 | |
| CN112653556B (zh) | 一种基于token的微服务安全认证方法、装置、存储介质 | |
| CN110493251B (zh) | 一种数据处理方法、装置、电子设备和存储介质 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| CN117240625B (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN113489710B (zh) | 一种文件共享方法、装置、设备和存储介质 | |
| CN112565265A (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN111585995B (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
| CN115643021B (zh) | 基于动态编码的终端防护方法及装置 | |
| CN116455572B (zh) | 数据加密方法、装置及设备 | |
| CN115514470B (zh) | 一种社区矫正数据安全性的存储方法及系统 | |
| KR20110003133A (ko) | 효율적인 개인정보 유통경로의 안전관리를 위한 개인 정보 보호 장치 및 방법 | |
| CN115941279A (zh) | 数据中用户标识的加解密方法、系统及设备 | |
| CN114492489B (zh) | 一种基于动态数据的nfc标签验证系统 | |
| CN114936012A (zh) | 一种加密扫描二维码实现投屏的方法及其装置 | |
| CN112597453A (zh) | 程序代码加密解密方法和装置 | |
| CN113595731A (zh) | 一种分享链接的防护方法、装置及计算机可读存储介质 | |
| CN111523128A (zh) | 信息保护方法、系统、电子设备及介质 | |
| CN117294541B (zh) | 票务系统防刷票的多重加密方法、系统、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |