CN116204892B - 漏洞处理方法、装置、设备以及存储介质 - Google Patents
漏洞处理方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN116204892B CN116204892B CN202310490884.2A CN202310490884A CN116204892B CN 116204892 B CN116204892 B CN 116204892B CN 202310490884 A CN202310490884 A CN 202310490884A CN 116204892 B CN116204892 B CN 116204892B
- Authority
- CN
- China
- Prior art keywords
- function
- call
- information
- program
- violation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 7
- 238000000034 method Methods 0.000 claims abstract description 176
- 238000012545 processing Methods 0.000 claims abstract description 15
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 195
- 239000013598 vector Substances 0.000 claims description 82
- 230000008569 process Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000007123 defense Effects 0.000 abstract description 2
- 238000000605 extraction Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000008439 repair process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000011328 necessary treatment Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/284—Lexical analysis, e.g. tokenisation or collocates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了漏洞处理方法、装置、设备以及存储介质。应用于漏洞防御技术领域,所述方法包括根据主机程序的程序调试信息和程序执行数据,确定内核中主机程序的调用跟踪点;利用调用跟踪点,获取主机程序的函数方法调用数据;对函数方法调用数据进行特征提取和算法分析,根据比对结果得到违规信息,其中违规信息表示主机程序的可利用漏洞或其他恶意操作;针对违规信息生成目标虚拟拦截代码,并注入到主机的内核模块用于拦截对主机程序的漏洞利用攻击。以此方式,可以解决目前主机程序的漏洞处理方式实施难度较大的问题。
Description
技术领域
本发明涉及漏洞防御技术领域,尤其涉及一种漏洞处理方法、装置、设备以及存储介质。
背景技术
随着互联网的迅速发展和计算机的广泛应用,主机程序的安全问题日益凸显。当主机程序存在漏洞时,黑客可以利用漏洞来入侵系统,执行恶意代码或窃取敏感信息。目前,在发现主机程序的漏洞后往往需要通过版本升级、重新部署等方式进行漏洞修复,实施难度较大。
针对目前主机程序的漏洞处理方式实施难度较大的问题,目前尚未提出有效的解决方案。
发明内容
为解决上述技术问题,本发明提出了一种漏洞处理方法,所述方法包括:
根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用。
优选地,所述对所述函数方法调用数据进行分析,得到违规信息,包括:
从所述函数方法调用数据中匹配出目标函数方法的调用信息;
根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,若违规,所述违规信息为函数调用请求违规。
优选地,所述根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,包括:
获取所述请求信息的请求来源;
根据所述预设规则,判断所述请求来源是否为违规来源;
在所述请求来源为违规来源的情况下,确定所述请求信息违规。
优选地,所述根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,包括:
在所述目标函数方法为文件访问方法的情况下,获取所述请求信息对应的文件哈希值,其中,所述请求信息用于请求所述主机程序对目标文件进行访问,所述文件哈希值为所述目标文件的哈希值;
根据所述预设规则,判断所述文件哈希值是否为违规哈希值;
在所述文件哈希值为违规哈希值的情况下,确定所述请求信息违规。
优选地,所述基于所述违规信息生成目标虚拟代码,包括:
对于函数调用请求违规、以及所述待匹配特征向量编码对应的函数方法是违规函数调用,以热加载策略的方式将所述函数方法的调用分析过程的相关计算、以及比对策略转化为可执行代码,所述可执行代码即为目标虚拟代码;
对于所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,将对所述函数方法的拦截程序编译成操作系统微内核中可执行二进制代码,所述可执行二进制代码具备访问内核函数和内存的微指令代码,所述可执行二进制代码即为目标虚拟代码。
优选地,所述根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点,包括:获取所述主机程序的函数名称和参数信息,其中,所述程序调试信息包括所述函数名称和所述参数信息;根据所述函数名称、所述参数信息以及所述程序执行数据中函数的参数传递,分析所述主机程序的调用关系;基于所述调用关系确定内核中所述主机程序的调用跟踪点;
所述利用所述调用跟踪点,获取所述主机程序的函数方法调用数据,包括:利用所述调用跟踪点,对所述主机程序在运行过程中的函数方法调用进行跟踪,得到所述主机程序的函数方法调用数据。
本发明提供一种漏洞处理装置,所述装置包括:
跟踪点确定模块:配置为根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
调用数据获取模块:配置为利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
分析模块:配置为对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
拦截模块:配置为基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用。
本发明提供一种电子设备,述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如前所述的方法。
本发明提供一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如前所述的方法。
采用本发明的方法,通过跟踪主机程序的函数方法调用数据,检测主机程序的可利用漏洞,并针对漏洞生成虚拟代码注入到内核模块中,实现漏洞缓解和修复,无需对主机程序进行版本升级、重新部署就能实现漏洞的修复,解决了目前主机程序的漏洞处理方式实施难度较大的问题。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1为本发明提出的漏洞处理方法流程图;
图2为本发明提出的漏洞处理装置的框图;
图3为本发明提出的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开实施例通过跟踪主机程序的函数方法调用数据,检测主机程序的可利用漏洞,并针对漏洞生成虚拟代码注入到内核模块中,实现漏洞缓解和修复,无需对主机程序进行版本升级、重新部署就能实现漏洞的修复,解决了目前主机程序的漏洞处理方式实施难度较大的问题。
图1示出了提出的漏洞处理方法100的流程图。如图1所示,方法100包括:
步骤S110,根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
步骤S120,利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
步骤S130,对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
步骤S140,基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用。
上述主机程序可以是安装在本地计算机或服务器上的应用程序,主机程序可以与本地计算机或服务器上的硬件和操作系统交互。
程序的调试信息是指程序编译后的各种符号信息和调用关系,包括函数名称、参数类型、返回值等。在步骤S110中,主机程序的程序调试信息可以包括函数名称、函数调用的参数、网络数据包的源地址、目的地址、端口、目的端口等。
上述程序执行数据是指主机程序在运行过程中产生的数据。
上述目标虚拟代码用于实现函数方法调用的拦截。
本发明对函数方法调用数据进行特征提取和算法分析,根据比对结果得到违规信息,其中违规信息表示主机程序的可利用漏洞或其他恶意操作。
可选地,在步骤S140中,可以通过eBPF模块将目标虚拟代码注入到主机的内核模块。eBPF模块可以通过内核虚拟化热加载虚拟代码的方式动态的获取、修改主机内核中的关键数据和执行逻辑。
根据本公开的实施例,由于对主机程序的访问需要经过系统内核的转发,通过跟踪主机程序的函数方法调用数据,检测主机程序的可利用漏洞,并针对漏洞生成虚拟代码注入到内核模块中,从而实现漏洞缓解和修复。
在一些实施例中,步骤S110,根据主机程序的程序调试信息和程序执行数据,确定内核中主机程序的调用跟踪点,包括:
获取主机程序的函数名称和参数信息,其中,程序调试信息包括函数名称和参数信息;
根据函数名称、参数信息以及程序执行数据中函数的参数传递,分析主机程序的调用关系;
基于调用关系确定内核中主机程序的调用跟踪点。
上述调用关系是指主机程序运行过程中不同函数方法之间的调用关系。
根据本公开的实施例,结合程序调试信息中的函数名称、参数信息对程序执行数据中函数的参数传递进行分析,得到调用关系,通过分析得到的调用关系确定调用跟踪点,为主机程序的漏洞检测提供了检测路径。
对程序运行过程中的方法调用跟踪,输出程序中具体的方法调用数据。
在一些实施例中,步骤S120,利用调用跟踪点,获取主机程序的函数方法调用数据,包括:利用调用跟踪点,对主机程序在运行过程中的函数方法调用进行跟踪,得到主机程序的函数方法调用数据。
根据本公开的实施例,通过输出的调用跟踪点,对程序运行过程中的函数方法调用进行跟踪,从而输出主机程序中具体的函数方法调用数据,作为主机程序漏洞分析的数据来源。
在一些实施例中,步骤S130,对函数方法调用数据进行分析,得到违规信息,包括:从函数方法调用数据中匹配出目标函数方法的调用信息;根据预设规则对调用信息中的请求信息进行分析,确定出请求信息中的违规信息。
在程序运行过程中,可能会调用多种函数方法,在函数方法调用数据中,可以匹配出不同的函数方法的调用信息,目标函数方法可以为任一种函数方法。
预设规则中可以包括合法信息规则,也可以包括非法信息规则。
可选地,合法信息规则可以用于记录安全的、不会被用于漏洞攻击的合法信息,如,请求来源白名单、合法文件哈希值、合法IP地址段等;非法信息规则用于记录可被用于漏洞攻击的非法信息或恶意信息,如,非法请求来源、非法文件名、非法文件哈希值、非法邮件地址、非法url等。
例如,目标函数方法为文件访问方法,从函数方法调用数据中匹配出文件访问方法的调用信息,调用信息中的请求信息包括请求访问的文件名,根据预设规则确定该文件名是否为非法文件名。
又如,调用信息中包含一个IP地址A,如果IP地址A是在预设规则记录的非法IP地址段中,则判断这是一个不合规的调用,并记录违规信息为IP地址A。
可选地,预设规则可以是根据历史漏洞信息生成的。
根据本公开的实施例,通过从函数方法调用数据中匹配出特定方法的调用信息,通过预设规则分析出调用信息的请求信息中是否存在违规信息,从而确定出主机程序的可利用漏洞。
在一些实施例中,根据预设规则对调用信息中的请求信息进行分析,确定出请求信息中的违规信息,包括:
获取请求信息的请求来源;
根据预设规则,判断请求来源是否为违规来源;
在请求来源为违规来源的情况下,将请求来源确定为违规信息。
例如,预设规则中记录有非法来源B,若请求信息的请求来源为B,则将请求来源B确定为违规信息。根据本公开的实施例,对请求来源进行判断,判断请求信息的请求来源是否为违规来源,并确定出违规信息,从而能够在后续步骤中根据请求来源对访问请求进行拦截。
在一些实施例中,根据预设规则对调用信息中的请求信息进行分析,确定出请求信息中的违规信息,包括:
在目标函数方法为文件访问方法的情况下,获取请求信息对应的文件哈希值,其中,请求信息用于请求主机程序对目标文件进行访问,文件哈希值为目标文件的哈希值;
根据预设规则,判断文件哈希值是否为违规哈希值;
在文件哈希值为违规哈希值的情况下,将文件哈希值确定为违规信息。
根据本公开的实施例,对于特定的函数方法,采用特定的判断规则。在目标函数方法为文件访问方法的情况下,对待访问文件的文件哈希值进行判断,判断请求信息对应的文件哈希值是否为违规哈希值,并确定出违规信息,从而能够在后续步骤中根据访问请求对应的文件哈希值对访问请求进行拦截。
在一些实施例中,步骤S140中拦截对主机程序的漏洞利用攻击,包括:
在主机接收到对主机程序的访问请求的情况下,利用内核模块对访问请求进行检测;
在内核模块检测到访问请求中存在违规信息的情况下,丢弃访问请求。
上述访问请求既可以包括网络请求,也可以包括本地请求(如,从外接存储设备中拷贝文件、对本地文件的操作)。
根据本公开的实施例,对主机程序的访问请求需要经过系统内核的转发,在主机接收到对主机程序的访问请求的情况下,通过内核模块对访问请求进行检测,对存在违规信息的访问请求进行过滤和拦截,从而实现主机程序的漏洞缓解和修复。
在一些实施例中,步骤S140中基于违规信息生成目标虚拟代码,包括:
对于函数调用请求违规、以及所述待匹配特征向量编码对应的函数方法是违规函数调用,以热加载策略的方式将所述函数方法的调用分析过程的相关计算、以及比对策略转化为可执行代码,所述可执行代码为目标可执行策略比对代码,所述可执行代码即为目标虚拟代码。
例如,一般情况下目标虚拟代码是一种字节码,如果在内核虚拟机执行过程中,可以热加载字节码。比如一种危害程度比较高的组件漏洞log4j在记录日志时,如果使用类似logger.info("system propety: ${jndi:schema://url}");这样的代码,黑客就可以利用url下载可执行代码,获取系统权限。
对于所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,将对所述函数方法的拦截程序编译成操作系统微内核中可执行二进制代码,所述可执行二进制代码具备访问内核函数和内存的微指令代码,所述可执行二进制代码即为目标虚拟代码。
例如,根据操作系统类型,把需要注入的代码部分注入内核,记录代码执行点入口。编译好的二进制代码在注入内核之前会被严格地检查。编译好的程序被注入内核后,根据策略比对结果的导致特定位置的代码执行点被调用,那么注入的程序就会被触发,按照既定方式拦截该调用。
在内核虚拟机运行时,可以加载函数调用检测模块,使用1.步骤中判断方法,检测发现函数调用的名称匹配logger,参数内容匹配jndi时,进行必要的处置,比如可以直接通过运行时加载类instrument.Instrumentation的方法,动态替换logger.info执行代码,直接无指令执行返回,起到拦截该违规函数调用效果。
例如,违规信息包括IP地址A,则违规信息的检测规则包括:步骤S11,获取访问请求中的IP地址;步骤S12,判断访问请求中IP地址是否为A。按照检测规则,可以生成用于执行步骤S11、步骤S12的目标虚拟代码。
又如,违规信息包括文件哈希值C,则违规信息的检测规则包括:步骤S21,获取访问请求所请求访问的目标文件;步骤S22,对目标文件取哈希,得到目标文件的哈希值;步骤S23,判断目标文件的哈希值是否为C。按照检测规则,可以生成用于执行步骤S21、步骤S22、步骤S23的目标虚拟代码。
根据本公开的实施例,通过确定出违规信息,并生成目标虚拟代码,在将目标虚拟代码注入到内核模块后,内核模块即可对存在违规信息的访问请求进行过滤,从而对主机程序的函数方法调用进行拦截,实现主机程序的漏洞缓解和修复。
下面以具体的实施案例来对本公开实施例的方法100进行说明:
现有基于主机的一些实时漏洞检测与修复技术都是通过版本升级等方式实现的,周期时间长,实施难度大。应用服务器特定情况下,无法升级或修复。本公开实施例主要提供一种基于eBPF的内核虚拟化技术进行漏洞检测并修复漏洞攻击的方法。
eBPF可以通过内核虚拟化热加载虚拟代码的方式动态的获取、修改主机内核中的关键数据和执行逻辑。
本公开实施例的具体步骤如下:
步骤1,主机程序在运行过程中,对于系统内核各种方法的调用都可以通过调试工具获取调用细节。
步骤2,根据调试工具获取程序的程序调试信息,并和获取到的程序执行数据进行分析,输出内核中程序执行调用跟踪点。
步骤3,通过输出的调用跟踪点,对程序运行过程中的方法调用跟踪,输出程序中具体得的方法调用数据。
步骤4,根据规则,匹配特定方法的调用,输出相关调用信息。
步骤5,分析方法调用信息源中的相关请求信息,获取违规信息。
步骤6, 根据违规信息,编辑漏洞修复或缓解虚拟代码,注入到内核模块中。检测网络数据来源,如果发现违规来源,可以丢弃掉该请求,用于缓解漏洞攻击。
通过上述方案,既可以实现网络请求的函数调用拦截,也可以实现本地请求的函数调用拦截,借助于系统内核的函数调用的拦截,解决主机程序漏洞。(1)网络请求的函数调用拦截:例如,某个数据包通过网卡进来之后,通过操作系统内核,要在操作系统内核里进行处理和过滤,之后转发到主机程序,通过对网络进入的请求、数据包在内核进行过滤,来解决不合规的安全问题、漏洞攻击。(2)本地请求的函数调用拦截:例如,对于U盘的拷贝、对本地文件的操作,可以通过系统内核对拷贝请求、操作请求进行过滤和拦截,来解决不合规的安全问题、漏洞攻击。
本公开实施例通过主机内核虚拟化跟踪调试技术,检测系统行为,并和预置漏洞行为进行匹配,对于满足条件的行为进行记录,并分析其访问模型,再通过eBPF模块进行内核网络配置,对访问来源进行阻断,进行漏洞利用缓解、修复。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图2示出了根据漏洞处理装置200的方框图。如图2所示,装置200包括:
跟踪点确定模块210:配置为根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
调用数据获取模块220:配置为利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
分析模块230:配置为对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
拦截模块240:配置为基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图3示出了可以用来实施本公开的实施例的电子设备300的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
电子设备300包括计算单元301,其可以根据存储在ROM302中的计算机程序或者从存储单元308加载到RAM303中的计算机程序,来执行各种适当的动作和处理。在RAM303中,还可存储电子设备300操作所需的各种程序和数据。计算单元301、ROM302以及RAM303通过总线304彼此相连。I/O接口305也连接至总线304。
电子设备300中的多个部件连接至I/O接口305,包括:输入单元306,例如键盘、鼠标等;输出单元307,例如各种类型的显示器、扬声器等;存储单元308,例如磁盘、光盘等;以及通信单元309,例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理,例如方法100。例如,在一些实施例中,方法100可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元308。在一些实施例中,计算机程序的部分或者全部可以经由ROM302和/或通信单元309而被载入和/或安装到电子设备300上。当计算机程序加载到RAM303并由计算单元301执行时,可以执行上文描述的方法100的一个或多个步骤。备选地,在其他实施例中,计算单元301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法100。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置;以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (7)
1.一种漏洞处理方法,其特征在于,所述方法包括:
根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用;
所述基于所述违规信息生成目标虚拟代码,包括:
对于函数调用请求违规、以及所述待匹配特征向量编码对应的函数方法是违规函数调用,以热加载策略的方式将所述函数方法的调用分析过程的相关计算、以及比对策略转化为可执行代码,所述可执行代码即为目标虚拟代码;
对于所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,将对所述函数方法的拦截程序编译成操作系统微内核中可执行二进制代码,所述可执行二进制代码具备访问内核函数和内存的微指令代码,所述可执行二进制代码即为目标虚拟代码;
所述根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点,包括:获取所述主机程序的函数名称和参数信息,其中,所述程序调试信息包括所述函数名称和所述参数信息;根据所述函数名称、所述参数信息以及所述程序执行数据中函数的参数传递,分析所述主机程序的调用关系;基于所述调用关系确定内核中所述主机程序的调用跟踪点;
所述利用所述调用跟踪点,获取所述主机程序的函数方法调用数据,包括:利用所述调用跟踪点,对所述主机程序在运行过程中的函数方法调用进行跟踪,得到所述主机程序的函数方法调用数据。
2.根据权利要求1所述的方法,其特征在于,所述对所述函数方法调用数据进行分析,得到违规信息,包括:
从所述函数方法调用数据中匹配出目标函数方法的调用信息;
根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,若违规,所述违规信息为函数调用请求违规。
3.根据权利要求2所述的方法,其特征在于,所述根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,包括:
获取所述请求信息的请求来源;
根据所述预设规则,判断所述请求来源是否为违规来源;
在所述请求来源为违规来源的情况下,确定所述请求信息违规。
4.根据权利要求2所述的方法,其特征在于,所述根据预设规则对所述调用信息中的请求信息进行分析,确定所述请求信息是否违规,包括:
在所述目标函数方法为文件访问方法的情况下,获取所述请求信息对应的文件哈希值,其中,所述请求信息用于请求所述主机程序对目标文件进行访问,所述文件哈希值为所述目标文件的哈希值;
根据所述预设规则,判断所述文件哈希值是否为违规哈希值;
在所述文件哈希值为违规哈希值的情况下,确定所述请求信息违规。
5.一种漏洞处理装置,其特征在于,所述装置包括:
跟踪点确定模块:配置为根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点;
调用数据获取模块:配置为利用所述调用跟踪点,获取所述主机程序的函数方法调用数据;
分析模块:配置为对所述函数方法调用数据进行分析,得到违规信息,其中,所述违规信息表示所述主机程序的可利用漏洞,所述违规信息包括函数调用请求违规、违规函数调用及潜在违规函数调用;
拦截模块:配置为基于所述违规信息生成目标虚拟代码,并注入到主机的内核模块用于拦截对所述主机程序的漏洞利用攻击;
其中,对所述函数方法调用数据进行分析,得到违规信息,包括:使用wordtovec算法从所述函数方法中按类别提取关键词组成关键词向量,所述关键词的类别包括函数名称、参数名称、参数值;将所述关键词向量进行转换编码,得到待匹配特征向量编码,所述待匹配特征向量编码包括多个编码位;
将已知违规向量库中的训练完毕的每类关键词对应的已编码向量集,与所述待匹配特征向量编码进行比对,比对方式为:
确定所述已编码向量集比对允许的误差范围;所述已编码向量集中具有多个已知编码;
从所述待匹配特征向量编码中依次截取代表函数名称、参数名称、参数值的编码位,将代表函数名称、参数名称、参数值的编码位依次与其对应的已编码向量集进行比对,得到相似度A1、A2、A3;
如果A1,A2,A3均在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是违规函数调用,所述违规信息为违规函数调用;如果A1,A2,A3中有两个数值在比对允许的误差范围内,则确定所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,所述违规信息为潜在违规函数调用;
所述基于所述违规信息生成目标虚拟代码,包括:
对于函数调用请求违规、以及所述待匹配特征向量编码对应的函数方法是违规函数调用,以热加载策略的方式将所述函数方法的调用分析过程的相关计算、以及比对策略转化为可执行代码,所述可执行代码即为目标虚拟代码;
对于所述待匹配特征向量编码对应的函数方法是潜在违规函数调用,将对所述函数方法的拦截程序编译成操作系统微内核中可执行二进制代码,所述可执行二进制代码具备访问内核函数和内存的微指令代码,所述可执行二进制代码即为目标虚拟代码;
所述根据主机程序的程序调试信息和程序执行数据,确定内核中所述主机程序的调用跟踪点,包括:获取所述主机程序的函数名称和参数信息,其中,所述程序调试信息包括所述函数名称和所述参数信息;根据所述函数名称、所述参数信息以及所述程序执行数据中函数的参数传递,分析所述主机程序的调用关系;基于所述调用关系确定内核中所述主机程序的调用跟踪点;
所述利用所述调用跟踪点,获取所述主机程序的函数方法调用数据,包括:利用所述调用跟踪点,对所述主机程序在运行过程中的函数方法调用进行跟踪,得到所述主机程序的函数方法调用数据。
6.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至4中任一权利要求所述的方法。
7.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1至4中任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310490884.2A CN116204892B (zh) | 2023-05-05 | 2023-05-05 | 漏洞处理方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310490884.2A CN116204892B (zh) | 2023-05-05 | 2023-05-05 | 漏洞处理方法、装置、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116204892A CN116204892A (zh) | 2023-06-02 |
CN116204892B true CN116204892B (zh) | 2023-08-08 |
Family
ID=86509786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310490884.2A Active CN116204892B (zh) | 2023-05-05 | 2023-05-05 | 漏洞处理方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116204892B (zh) |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553917A (zh) * | 2014-10-28 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 一种网页漏洞的检测方法和系统 |
CN106598667A (zh) * | 2016-12-12 | 2017-04-26 | 百度在线网络技术(北京)有限公司 | 用于修复内核漏洞的方法和装置 |
CN107330328A (zh) * | 2017-06-30 | 2017-11-07 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
CN107885999A (zh) * | 2017-11-08 | 2018-04-06 | 华中科技大学 | 一种基于深度学习的漏洞检测方法及系统 |
CN111259388A (zh) * | 2020-01-09 | 2020-06-09 | 中山大学 | 一种基于图卷积的恶意软件api调用序列检测方法 |
CN111723370A (zh) * | 2020-06-12 | 2020-09-29 | 苏州浪潮智能科技有限公司 | 一种容器恶意行为检测的方法和设备 |
CN112560045A (zh) * | 2020-12-11 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 应用程序漏洞检测方法、装置、计算机设备和存储介质 |
US10983804B1 (en) * | 2019-12-13 | 2021-04-20 | Raytheon Company | Patching a binary file |
CN112800423A (zh) * | 2021-01-26 | 2021-05-14 | 北京航空航天大学 | 一种二进制代码授权漏洞检测方法 |
CN113987507A (zh) * | 2021-10-22 | 2022-01-28 | 中国工商银行股份有限公司 | 堆内存漏洞检测方法、装置、存储介质及电子设备 |
CN114116606A (zh) * | 2021-12-02 | 2022-03-01 | 北京江民新科技术有限公司 | 针对windows全系统的文件保护方法及系统 |
CN115033884A (zh) * | 2022-05-17 | 2022-09-09 | 中原工学院 | 基于危险函数参数依赖的二进制代码漏洞检测方法 |
CN115221541A (zh) * | 2022-08-08 | 2022-10-21 | 中山大学 | 一种基于eBPF的自动化访问控制方法、系统及设备 |
CN115495731A (zh) * | 2022-08-30 | 2022-12-20 | 中国科学院信息工程研究所 | 面向容器主机平台的轻量级攻击检测方法及装置 |
CN115659354A (zh) * | 2022-11-04 | 2023-01-31 | 国网山东省电力公司电力科学研究院 | 电力系统物联网固件多粒度漏洞相似性检测方法和装置 |
CN116010963A (zh) * | 2022-12-15 | 2023-04-25 | 深信服科技股份有限公司 | 一种内核漏洞检测方法、装置、设备及可读存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI553503B (zh) * | 2014-02-27 | 2016-10-11 | 國立交通大學 | 產生候選鈎點以偵測惡意程式之方法及其系統 |
US10592380B2 (en) * | 2018-04-20 | 2020-03-17 | Sysdig, Inc. | Programmatic container monitoring |
-
2023
- 2023-05-05 CN CN202310490884.2A patent/CN116204892B/zh active Active
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553917A (zh) * | 2014-10-28 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 一种网页漏洞的检测方法和系统 |
CN106598667A (zh) * | 2016-12-12 | 2017-04-26 | 百度在线网络技术(北京)有限公司 | 用于修复内核漏洞的方法和装置 |
CN109117169A (zh) * | 2016-12-12 | 2019-01-01 | 百度在线网络技术(北京)有限公司 | 用于修复内核漏洞的方法和装置 |
CN107330328A (zh) * | 2017-06-30 | 2017-11-07 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
CN107885999A (zh) * | 2017-11-08 | 2018-04-06 | 华中科技大学 | 一种基于深度学习的漏洞检测方法及系统 |
US10983804B1 (en) * | 2019-12-13 | 2021-04-20 | Raytheon Company | Patching a binary file |
CN111259388A (zh) * | 2020-01-09 | 2020-06-09 | 中山大学 | 一种基于图卷积的恶意软件api调用序列检测方法 |
CN111723370A (zh) * | 2020-06-12 | 2020-09-29 | 苏州浪潮智能科技有限公司 | 一种容器恶意行为检测的方法和设备 |
CN112560045A (zh) * | 2020-12-11 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 应用程序漏洞检测方法、装置、计算机设备和存储介质 |
CN112800423A (zh) * | 2021-01-26 | 2021-05-14 | 北京航空航天大学 | 一种二进制代码授权漏洞检测方法 |
CN113987507A (zh) * | 2021-10-22 | 2022-01-28 | 中国工商银行股份有限公司 | 堆内存漏洞检测方法、装置、存储介质及电子设备 |
CN114116606A (zh) * | 2021-12-02 | 2022-03-01 | 北京江民新科技术有限公司 | 针对windows全系统的文件保护方法及系统 |
CN115033884A (zh) * | 2022-05-17 | 2022-09-09 | 中原工学院 | 基于危险函数参数依赖的二进制代码漏洞检测方法 |
CN115221541A (zh) * | 2022-08-08 | 2022-10-21 | 中山大学 | 一种基于eBPF的自动化访问控制方法、系统及设备 |
CN115495731A (zh) * | 2022-08-30 | 2022-12-20 | 中国科学院信息工程研究所 | 面向容器主机平台的轻量级攻击检测方法及装置 |
CN115659354A (zh) * | 2022-11-04 | 2023-01-31 | 国网山东省电力公司电力科学研究院 | 电力系统物联网固件多粒度漏洞相似性检测方法和装置 |
CN116010963A (zh) * | 2022-12-15 | 2023-04-25 | 深信服科技股份有限公司 | 一种内核漏洞检测方法、装置、设备及可读存储介质 |
Non-Patent Citations (1)
Title |
---|
针对未知PHP反序列化漏洞利用的检测拦截系统研究;陈震杭;王张宜;彭国军;夏志坚;;信息网络安全(04);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116204892A (zh) | 2023-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
US10476899B2 (en) | Application phenotyping | |
RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
EP2788912B1 (en) | Predictive heap overflow protection | |
Kawakoya et al. | Memory behavior-based automatic malware unpacking in stealth debugging environment | |
US20210248234A1 (en) | Malware Clustering Based on Function Call Graph Similarity | |
RU2606564C1 (ru) | Система и способ блокировки выполнения сценариев | |
US10339575B2 (en) | Method and system for provenance tracking in software ecosystems | |
Zhao et al. | Malicious executables classification based on behavioral factor analysis | |
US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
US10216934B2 (en) | Inferential exploit attempt detection | |
CN110445769B (zh) | 业务系统的访问方法及装置 | |
US11586735B2 (en) | Malware clustering based on analysis of execution-behavior reports | |
US9659173B2 (en) | Method for detecting a malware | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
CN109997138A (zh) | 用于检测计算设备上的恶意进程的系统和方法 | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
CN116204892B (zh) | 漏洞处理方法、装置、设备以及存储介质 | |
EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
CN106911686B (zh) | WebShell检测方法及装置 | |
Poonia et al. | Malware detection by token counting | |
US12050687B1 (en) | Systems and methods for malware detection in portable executable files | |
CN116738427B (zh) | 终端安全防护方法、装置、设备及存储介质 | |
US20230069035A1 (en) | Inactivating basic blocks of program code to prevent code reuse attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |