CN101408917A - 应用程序行为合法性检测方法及*** - Google Patents
应用程序行为合法性检测方法及*** Download PDFInfo
- Publication number
- CN101408917A CN101408917A CNA2008100719955A CN200810071995A CN101408917A CN 101408917 A CN101408917 A CN 101408917A CN A2008100719955 A CNA2008100719955 A CN A2008100719955A CN 200810071995 A CN200810071995 A CN 200810071995A CN 101408917 A CN101408917 A CN 101408917A
- Authority
- CN
- China
- Prior art keywords
- caller
- system interface
- code
- detection method
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
一种应用程序行为合法性检测方法,包括以下步骤:监视计算机的一个或多个***接口,使被监视的***接口收到调用命令时跳转到监视模块中执行;阻断调用者所在的应用程序,并判断调用者的合法性:如果调用者合法,则允许其调用接口函数并继续执行调用者所在的应用程序;如果调用者不合法,则暂停调用者所在应用程序的行为,并提出入侵警告。本发明通过监视计算机的***接口,追查出应用程序行为的执行者是否合法,从而拦截非法执行者执行的程序行为并报警。与目前较为模糊的行为分析技术相比,本发明的检测方法具有误报率低、识别率高等优点,尤其是对于利用溢出漏洞进行的入侵行为具有良好的防御效果,是现有行为分析防御技术的有效补充。
Description
技术领域
本发明涉及一种计算机安全的检测方法及***,特别是一种应用程序行为合法性检测方法及***。
背景技术
互联网络的蓬勃发展使网络和计算机安全都成为日益严峻的问题。在计算机中,***和各种应用软件都存在着未知的安全漏洞,如未知溢出漏洞等,这些漏洞随时可能被恶意入侵者利用而对计算机***和/或应用程序、文档等造成不同程度的破坏。因此,各种各样的防护软件被广泛应用于网络计算机上,以检测直至遏制恶意入侵者的不法行为。
目前,在网络计算机上运行的本地防护软件,大多采取行为分析技术,如主动防御技术,来检测利用未知溢出漏洞入侵程序的行为。所谓行为分析技术,是指拦截所有可能导致危害的应用程序行为,然后用事先定义好的匹配规则对这些可疑行为进行过滤选择,并完成行为过滤表,根据行为过滤表对表外的应用程序行为进行拦截并报警,从而达到防止恶意入侵程序的运行的目的。现有的行为分析技术,如一些常用杀毒软件的微点主动防御技术等,常用的匹配规则为:根据可能导致危害的行为所在的程序来确定此行为的合法性,也就是说,如果行为所在的程序不在过滤表的许可列表内,就阻止;如果行为所在的程序在过滤表的许可列表内,就执行。
但是,由于应用程序往往存在未知的安全漏洞,很多入侵行为都是直接入侵到应用程序内部,通过被入侵的应用程序来执行入侵代码的行为。现有防御技术仅根据执行的程序是否在许可列表内来确定行为的合法性,并不能区分出应用程序的行为是应用程序本身正常的行为还是入侵到应用程序内部的恶意入侵者的行为,也就无法识别并阻止合法应用程序的非法行为。在使用现有防护软件的计算机中,这些入侵者通过合法应用程序执行的非法行为往往会因为符合过滤匹配规则而被放行,以致给恶意入侵者留下了绕过防护软件的可乘之机。
发明内容
本发明的目的在于提供一种能有效检测并拦截因存在溢出漏洞而被入侵的应用程序所执行的非法行为的检测方法及***。
为了达成上述目的,本发明提供了一种应用程序行为合法性检测方法,其包括以下步骤:监视计算机的一个或多个***接口,使被监视的***接口收到调用命令时跳转到监视模块中执行;阻断调用者所在的应用程序,并判断***接口函数调用者的合法性:如果调用者合法,则允许其调用接口函数并继续执行调用者所在的应用程序;如果调用者不合法,则暂停调用者所在应用程序的行为,并提出入侵警告。
所述被监视的***接口是可能被入侵者利用的***接口,包括文件读写操作***接口、进线程操作***接口、内存读写操作***接口、内存页保护更改操作***接口、注册表信息操作***接口中的一个或多个。
所述判断***接口函数调用者的合法性步骤中,包括判断调用者代码地址是否合法的子步骤,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,则进入下一子步骤继续判断调用者的合法性。
所述判断***接口函数调用者的合法性步骤中,还包括判断调用者代码是否确实为调用了该接口函数的正常指令,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,则进入下一子步骤继续判断调用者的合法性。
所述判断***接口函数调用者的合法性步骤中,还包括判断调用者代码是否未被修改的子步骤,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,即在所述判断***接口函数调用者的合法性步骤中,三个子步骤的判断结果都为是,则判定调用者合法。
所述判断调用者代码是否未被修改的子步骤,可以通过将调用者代码和对应可执行文件中的代码进行比较来实现。
监视计算机的一个或多个***接口的步骤是通过在被监视***接口挂钩的方式实现的。
所述检测方法是针对入侵者利用溢出漏洞入侵而通过应用程序执行的非法行为。
所述入侵者包括网页挂马、文档捆马和远程溢出攻击。
为了解决上述技术问题,本发明还提供了一种用于实现上述方法的应用程序行为合法性检测***,其包括进程守护模块和监视模块,监视模块用于对***接口进行调用挂钩、维护内存地址分配表及拦截***接口调用操作并审核调用者的合法性;所述进行守护模块用于和监视模块通讯,控制监视模块执行。
本发明通过监视计算机的***接口,追查出应用程序行为的执行者是否合法,从而拦截非法执行者执行的程序行为并报警。与目前较为模糊的行为分析技术相比,本发明的检测方法具有误报率低、识别率高等优点,尤其是对于利用溢出漏洞进行的入侵行为具有良好的防御效果,是现有行为分析防御技术的有效补充。
附图说明
图1为被入侵代码入侵后的应用程序的内存地址示意图。
图2为被入侵代码入侵后的应用程序调用***接口函数的示意图。
图3为本发明检测***检测入侵代码的流程图。
图4为图3中检测***判断调用者合法性的流程图。
图5为本发明检测***对***接口挂钩前的***接口调用流程图。
图6为本发明检测***对***接口挂钩后的***接口调用流程图。
图7至图9为本发明检测***的监视模块维护内存地址分配表的流程图。
具体实施方式
在现代操作***中,应用程序的各种行为都必须要通过调用***接口来实现。因此,只要追查***接口的调用者,就可以找到应用程序行为的实际控制者。也就是说,可以通过对一些可能被恶意入侵者使用到的***接口进行监视,验证这些***接口函数调用者的合法性,就能识别出这些行为的实际控制者是否合法,从而检测到入侵者通过被入侵的应用程序来执行的非法行为。
为了说明本发明的工作原理,以下首先描述入侵者是如何对应用程序进行入侵的。
首先,很多应用程序都存在溢出漏洞。溢出漏洞是由于程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密而造成的。根据程序执行中堆栈调用原理,程序对超出边界的部分如果没有经过验证自动去掉,那么超出边界的部分就会覆盖后面的存放程序指针的数据,当执行完上面的代码,程序会自动调用指针所指向地址的命令。
请参阅图1,在利用溢出漏洞进行入侵的攻击中,入侵者通常是针对溢出漏洞建立一段精心构造的特殊数据,对输入检测有缺陷的应用程序处理这段数据时会产生溢出,入侵者即可借此将一段入侵代码植入到被攻击程序中,入侵代码可以从被攻击程序中获得控制权而获得执行,从而实现入侵者想要达到的目的。由于应用程序的数据处理所使用的内存空间通常为堆、栈或者新分配页,因此,这段溢出的入侵代码往往部分或者全部地被分配到堆、栈或者新分配页的内存地址空间13中。
事实上,绝大多数应用程序不会进行代码内存地址的动态分配和运行,因此这些应用程序的正常代码内存地址空间都是事先分配好的固定内存地址空间15。正常代码的内存地址映射关系可以在对应的可执行文件17中的代码节内存分配信息中找到,也就是说通过可执行文件17里提供的映射关系,可以确定合法代码的内存地址空间15。以在Windows***下为例,可执行文件是以PE格式存储的。一般的可执行文件往往有一个代码节(通常为.text节),并且可以从文件的PE信息里找到这个代码节被载入到内存中的地址空间的位置,即以.text节的虚拟地址加上文件映像基址为开始、以.text节虚拟长度为大小的内存地址空间。
可执行文件17执行以后,所有被合法载入的模块的代码地址空间的集合就是合法代码地址空间,也就是图1中所有的内存地址空间15的集合。而入侵者要执行自己植入的入侵代码,往往需要把入侵代码动态地分配到另外的一个内存地址空间中。所以,入侵者使用的入侵代码存储在不同于合法代码地址空间的其他内存地址空间中,如图1中内存地址空间13。
为了能够实时而又高效的检测出入侵代码,检测***必须要在入侵代码开始运行或者运行之前找到它。由于计算机中的数据和代码并无区别,目前使用扫描的方式还无法识别出代码和数据,因此只能以其他方式来完成对入侵代码的侦测。
请参阅图2,入侵者的入侵代码为了达到入侵目的,如窃取资料、开启后门等,必定要完成某一项或多项功能,如对文件进行读写、进线程操作、更改内存页保护、内存修改、内存分配或读取***配置信息等。由于完成任一功能都必须调用相关的***接口函数22,不使用***接口的入侵无法完成相关的有害行为,可以忽略。所以,只要对这些特定的***接口进行监视,当被监视的***接口函数22被调用时,分析这些接口函数22的调用者是否合法,即可在入侵代码未运行时找到它并予以清除,从而保证计算机***和文件的安全。
请参阅图3,为本发明检测***检测入侵代码的流程图。检测***首先对各个可能被利用的***接口挂钩以进行监视(步骤S30),在某一个或几个受监视的***接口收到调用命令准备执行函数时,检测***将阻断调用者所在的应用程序(步骤S31),然后根据预定的判断规则判断调用者的合法性(步骤S32):如果判断结果是调用者合法,则允许其调用***的原始API(应用程序接口,application programming interface),将***接口函数22返回到调用者(步骤S34),使调用者所在应用程序继续执行;如果判断结果是调用者不合法,也就是说调用者是入侵代码,则暂停调用者所在应用程序的执行,并向***管理员提出入侵警告(步骤S36),之后按照***管理员的指示对入侵代码进行处理(步骤S37)。
上述可能被入侵代码利用而需要监视的***接口包括但不限于:文件读写操作***接口、进线程操作***接口、内存读写操作***接口、内存页保护更改操作***接口、注册表信息操作***接口等。
为了判断调用者的合法性,同时防止恶意调用者的破坏,步骤S32中提及的判断规则为:
1、判断调用者代码所在的内存地址空间是否合法。如果***接口函数22的调用者代码的内存地址不是来自于应用程序事先分配好的代码内存地址空间15,而是来自于动态分配的内存地址空间13,如堆、栈或者新分配页的内存地址,那么就可以判定调用***接口函数22的是入侵代码,需要拦截调用者的行为并报警,提示***管理员;如果这些***接口函数22的调用者代码的内存地址来自于应用程序事先分配好的代码内存地址空间15,则理论上来说这一调用行为应该是应用程序的正常行为。但是,为了防止恶意调用者的破坏还需要继续进行以下两步判断。
2、验证调用者代码是否确实为调用接口函数22的正常指令,即分析调用者处代码是否确实无误的调用了接口函数22的代码,而不是其他代码,以防止入侵程序利用合法地址空间做跳板破坏监视程序运行。例如:在最常见的32位PC机上,通常调用者的代码是Call xxxx指令。此步中通过验证调用者代码(即调用者地址处的指令之前的指令代码)的格式和跳转地址是否正确,来判断调用者是否确实为调用接口函数22的正常指令。如果调用者代码格式或跳转地址不正确,则其对接口函数22的调用是无效的,可以判定调用者代码是入侵代码,需要拦截调用者的行为并向管理员报警;如果调用者代码的格式和跳转地址都无误,则其确实为调用了接口函数22的正常指令,那么继续进行下一步判断。
3、验证调用者代码是否未被修改,以防止入侵代码修改合法地址空间的代码而绕过来源检测。由于现代计算机都支持内存分页的权限控制,正常代码地址空间大多默认都设为只读,因此只要拦截对其写及更改保护操作,就可以防止入侵程序修改正常代码(内存保护更改和写只读内存的***接口调用执行之前,就会被检测***发现,所以此处不再加以考虑)。但是有些情况下,调用者代码的地址空间默认可写。这种情况下需要通过将调用者代码和对应可执行文件中的代码进行比较,来确认调用者代码是否未被修改。
请参阅图4,虚线内流程为图3中检测***判断调用者合法性的流程图。检测***首先判断调用者代码地址是否合法(步骤S321):如果判断结果为“否”,则调用者不合法,于是直接进入步骤S36,也就是暂停调用者所在应用程序的执行,并向***管理员提出入侵警告;如果判断结果为“是”,则进入步骤S323,判断调用者代码是否确实为调用接口函数22的正常指令:如果判断结果为“否”,则调用者不合法,于是进入步骤S36;如果判断结果为“是”,则进入步骤S325,判断调用者代码是否未被修改:如果判断结果为“否”(即已被修改),则调用者不合法,于是进入步骤S36;如果判断结果为“是”(即未被修改),则调用者合法,于是进入步骤S34。
当然,在其他实施方式中,判断调用者合法性的子步骤S231、S233、S235的先后顺序可以调整,但是不管这三步的顺序为何,只要任一步骤的判断结果为“否”,则判定调用者不合法而进入步骤S36;只有以上三步的判断结果都为“是”时,才判定调用者合法而进入步骤S34。另外,随着入侵者入侵方式的发展,判断调用者合法性的步骤中还可能包括其他更多的子步骤,或者以相近似的步骤替换现有的子步骤,这样的变化并不影响本发明的实施,也仍然落在本发明的保护范围内。
从以上描述可以看出,本发明通过监视***中运行的应用程序行为,追查出应用程序行为的内部实际执行者,从而找出非法执行者(即入侵代码)执行的程序行为并对其进行遏制。与目前较为模糊的行为分析技术相比,本发明具有误报率低、识别率高等优点,尤其是对于利用溢出漏洞进行的入侵行为,如网页挂马、文档捆马、远程溢出攻击等具有良好的防御效果,可以作为现有行为分析防御技术的补充而广泛应用。
为了使本领域技术人员更易于理解和实施本发明,以下对上述检测方法中使用到的检测***进行适当说明。
所述检测***包括守护进程模块和监视模块两个功能模块。其中,监视模块分为用户级和内核级,并依据不同的***情况分开使用。
用户级监视模块是运行在用户权限下的可动态加载的可执行模块。使用用户级监视模块情况下,守护进程模块的功能是对***所有应用程序进行监视,将监视模块作为可执行模块注入到正要开始运行的应用程序中,监视模块将在应用程序内部对应用程序进行监视。
内核级监视模块是运行在内核权限下的驱动程序模块。使用内核级监视模块的情况下,守护进程模块的功能是和监视模块通讯,控制监视模块执行。监视模块将在内核级别对***接口调用进行挂钩拦截。由于在内核级,应用程序调用被拦截***接口调用时,自然会执行监视代码。
可见,无论内核级监视模块还是用户级监视模块,其本身功能都相同,只是效率和实现方式(作为可执行模块和作为驱动程序)上有所不同。
由于检测***的核心是监视模块,以下介绍其功能:
1、对***接口调用进行挂钩,以监视***接口,即修改***接口调用的入口或者入口代码使之跳转到监视模块中的代码进行执行。请参阅图5和图6,图5为挂钩前的***接口调用流程图,图6为被挂钩以后的***接口调用流程图,其中的弧线表示监视模块中的代码会使用到实际的***接口函数,比较图5和图6可以看出挂钩使调用流程发生的变化。
2、维护内存地址分配表。代码内存分配表是一个代码合法内存空间(用起始地址到结束地址来表达)范围的集合,用于代码的地址合法性判断,代码内存分配表随着内存中的可执行模块的加载和卸载而更新。请参阅图7至图9,为监视模块维护内存地址分配表的流程图。当应用程序开始执行时,守护进程模块将监视模块注入到应用程序中,应用程序载入完成以后,对其中的可执行模块代码内存映射关系进行分析并保存。当有模块载入或者卸除的时候,就更新调整保存的信息。
3、拦截***接口调用操作,审核合法性。完成以上两步以后,***接口调用的监视代码就会在***接口调用函数执行前优先执行,而且可以根据代码内存分配表对代码合法性进行判断。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。
Claims (10)
1、一种应用程序行为合法性检测方法,其特征在于,该方法包括以下步骤:
监视计算机的一个或多个***接口,使被监视的***接口收到调用命令时跳转到监视模块中执行;
阻断调用者所在的应用程序,并判断***接口函数调用者的合法性;
如果调用者合法,则允许其调用接口函数并继续执行调用者所在的应用程序;
如果调用者不合法,则暂停调用者所在应用程序的行为,并提出入侵警告。
2、根据权利要求1所述的应用程序行为合法性检测方法,其特征在于:所述被监视的***接口是可能被入侵者利用的***接口,包括文件读写操作***接口、进线程操作***接口、内存读写操作***接口、内存页保护更改操作***接口、注册表信息操作***接口中的一个或多个。
3、根据权利要求2所述的应用程序行为合法性检测方法,其特征在于:所述判断***接口函数调用者的合法性步骤中,包括判断调用者代码地址是否合法的子步骤,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,则进入下一子步骤继续判断调用者的合法性。
4、根据权利要求3所述的应用程序行为合法性检测方法,其特征在于:所述判断***接口函数调用者的合法性步骤中,还包括判断调用者代码是否确实为调用了该接口函数的正常指令,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,则进入下一子步骤继续判断调用者的合法性。
5、根据权利要求4所述的应用程序行为合法性检测方法,其特征在于:所述判断***接口函数调用者的合法性步骤中,还包括判断调用者代码是否未被修改的子步骤,如果此子步骤的判断结果为否,则判定调用者不合法;如果此子步骤的判断结果为是,即在所述判断***接口函数调用者的合法性步骤中,三个子步骤的判断结果都为是,则判定调用者合法。
6、根据权利要求5所述的应用程序行为合法性检测方法,其特征在于:所述判断调用者代码是否未被修改的子步骤,可以通过将调用者代码和对应可执行文件中的代码进行比较来实现。
7、根据权利要求1所述的应用程序行为合法性检测方法,其特征在于:监视计算机的一个或多个***接口的步骤是通过在被监视***接口挂钩的方式实现的。
8、根据权利要求1至7中任何一项所述的应用程序行为合法性检测方法,其特征在于:所述检测方法是针对入侵者利用溢出漏洞入侵而通过应用程序执行的非法行为。
9、根据权利要求8所述的应用程序行为合法性检测方法,其特征在于:所述入侵者包括网页挂马、文档捆马和远程溢出攻击。
10、一种用于实现权利要求1所述检测方法的应用程序行为合法性检测***,其特征在于:所述检测***包括进程守护模块和监视模块,监视模块用于对***接口进行调用挂钩、维护内存地址分配表及拦截***接口调用操作并审核调用者的合法性;所述进行守护模块用于和监视模块通讯,控制监视模块执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100719955A CN101408917A (zh) | 2008-10-22 | 2008-10-22 | 应用程序行为合法性检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100719955A CN101408917A (zh) | 2008-10-22 | 2008-10-22 | 应用程序行为合法性检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101408917A true CN101408917A (zh) | 2009-04-15 |
Family
ID=40571928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100719955A Pending CN101408917A (zh) | 2008-10-22 | 2008-10-22 | 应用程序行为合法性检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101408917A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| CN102081722A (zh) * | 2011-01-04 | 2011-06-01 | 奇智软件(北京)有限公司 | 一种保护指定应用程序的方法及装置 |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及*** |
| CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
| CN102822836A (zh) * | 2010-02-02 | 2012-12-12 | 德国捷德有限公司 | 用于执行应用程序的方法 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN102930222A (zh) * | 2012-09-20 | 2013-02-13 | 无锡华御信息技术有限公司 | 反键盘记录方法及*** |
| CN103218564A (zh) * | 2013-04-01 | 2013-07-24 | 广东欧珀移动通信有限公司 | 一种移动终端保护方法及装置 |
| CN103679032A (zh) * | 2013-12-13 | 2014-03-26 | 北京奇虎科技有限公司 | 防御恶意软件的方法和装置 |
| CN104539585A (zh) * | 2014-12-05 | 2015-04-22 | 北京奇虎科技有限公司 | 浏览器防注入的方法、浏览器客户端和装置 |
| CN105512549A (zh) * | 2015-12-02 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种应用程序拦截方法及装置 |
| CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测***及其检测方法 |
| CN105653939A (zh) * | 2015-07-13 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种防御文档溢出的方法及装置 |
| CN105930720A (zh) * | 2016-05-05 | 2016-09-07 | 北京元心科技有限公司 | 一种实现与设备安全人机交互的方法和*** |
| WO2016206565A1 (zh) * | 2015-06-26 | 2016-12-29 | 阿里巴巴集团控股有限公司 | 恶意程序检测方法及装置 |
| CN107229844A (zh) * | 2017-05-31 | 2017-10-03 | 武汉斗鱼网络科技有限公司 | 检测swf文件调用者的方法、装置、服务端及客户端 |
| CN107451470A (zh) * | 2016-05-30 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 页面安全检测方法、装置及设备 |
| CN107682426A (zh) * | 2017-09-25 | 2018-02-09 | 平安科技(深圳)有限公司 | 接口代理方法及应用服务器 |
| CN108259429A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种针对软件分发进行控制的方法和*** |
| CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
| CN109033820A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 用户凭据保护方法、装置与设备 |
| CN110245464A (zh) * | 2018-10-10 | 2019-09-17 | 爱信诺征信有限公司 | 保护文件的方法和装置 |
| CN111310171A (zh) * | 2020-02-21 | 2020-06-19 | 华大半导体有限公司 | 一种硬件级主动防御的实现方法及装置 |
| CN111625812A (zh) * | 2019-02-27 | 2020-09-04 | 阿里巴巴集团控股有限公司 | 操作处理方法及装置 |
| CN112800416A (zh) * | 2020-12-31 | 2021-05-14 | 航天信息股份有限公司 | 一种用于调用链的安全防护***及方法 |
-
2008
- 2008-10-22 CN CNA2008100719955A patent/CN101408917A/zh active Pending
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748982B (zh) * | 2009-05-31 | 2011-04-27 | 北京理工大学 | 基于Petri网模型的误用检测***攻击知识库的校验方法 |
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| US9171186B2 (en) | 2010-02-02 | 2015-10-27 | Giesecke & Devrient Gmbh | Method for executing an application |
| CN102822836A (zh) * | 2010-02-02 | 2012-12-12 | 德国捷德有限公司 | 用于执行应用程序的方法 |
| CN102822836B (zh) * | 2010-02-02 | 2016-02-10 | 德国捷德有限公司 | 用于执行应用程序的方法 |
| CN102081722A (zh) * | 2011-01-04 | 2011-06-01 | 奇智软件(北京)有限公司 | 一种保护指定应用程序的方法及装置 |
| CN104820801A (zh) * | 2011-01-04 | 2015-08-05 | 北京奇虎科技有限公司 | 一种保护指定应用程序的方法及装置 |
| CN104820801B (zh) * | 2011-01-04 | 2018-10-30 | 北京奇虎科技有限公司 | 一种保护指定应用程序的方法及装置 |
| US20150207810A1 (en) * | 2012-02-07 | 2015-07-23 | Beijing Qihoo Technology Company Limited | Method and System for Detecting Behaviour of Remotely Intruding into Computer |
| WO2013117148A1 (zh) * | 2012-02-07 | 2013-08-15 | 北京奇虎科技有限公司 | 检测远程入侵计算机行为的方法及*** |
| US9444834B2 (en) * | 2012-02-07 | 2016-09-13 | Beijing Qihoo Technology Company Limited | Method and system for detecting behavior of remotely intruding into computer |
| CN102663274B (zh) * | 2012-02-07 | 2015-12-02 | 北京奇虎科技有限公司 | 一种检测远程入侵计算机行为的方法及*** |
| CN102663274A (zh) * | 2012-02-07 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种检测远程入侵计算机行为的方法及*** |
| CN102737188A (zh) * | 2012-06-27 | 2012-10-17 | 北京奇虎科技有限公司 | 检测恶意网页的方法及装置 |
| CN102930222A (zh) * | 2012-09-20 | 2013-02-13 | 无锡华御信息技术有限公司 | 反键盘记录方法及*** |
| CN102930222B (zh) * | 2012-09-20 | 2015-09-30 | 无锡华御信息技术有限公司 | 反键盘记录方法及*** |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN102932329B (zh) * | 2012-09-26 | 2016-03-30 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN103218564A (zh) * | 2013-04-01 | 2013-07-24 | 广东欧珀移动通信有限公司 | 一种移动终端保护方法及装置 |
| CN103679032A (zh) * | 2013-12-13 | 2014-03-26 | 北京奇虎科技有限公司 | 防御恶意软件的方法和装置 |
| CN103679032B (zh) * | 2013-12-13 | 2017-05-17 | 北京奇虎科技有限公司 | 防御恶意软件的方法和装置 |
| CN104539585A (zh) * | 2014-12-05 | 2015-04-22 | 北京奇虎科技有限公司 | 浏览器防注入的方法、浏览器客户端和装置 |
| CN104539585B (zh) * | 2014-12-05 | 2017-12-05 | 北京奇虎科技有限公司 | 浏览器防注入的方法、浏览器客户端和装置 |
| WO2016206565A1 (zh) * | 2015-06-26 | 2016-12-29 | 阿里巴巴集团控股有限公司 | 恶意程序检测方法及装置 |
| CN105653939A (zh) * | 2015-07-13 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种防御文档溢出的方法及装置 |
| CN105512549A (zh) * | 2015-12-02 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种应用程序拦截方法及装置 |
| CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测***及其检测方法 |
| CN105930720A (zh) * | 2016-05-05 | 2016-09-07 | 北京元心科技有限公司 | 一种实现与设备安全人机交互的方法和*** |
| CN107451470A (zh) * | 2016-05-30 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 页面安全检测方法、装置及设备 |
| CN108259429B (zh) * | 2016-12-29 | 2021-01-29 | 航天信息股份有限公司 | 一种针对软件分发进行控制的方法和*** |
| CN108259429A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种针对软件分发进行控制的方法和*** |
| CN107229844A (zh) * | 2017-05-31 | 2017-10-03 | 武汉斗鱼网络科技有限公司 | 检测swf文件调用者的方法、装置、服务端及客户端 |
| CN107229844B (zh) * | 2017-05-31 | 2019-09-10 | 武汉斗鱼网络科技有限公司 | 检测swf文件调用者的方法、装置、服务端及客户端 |
| CN107682426A (zh) * | 2017-09-25 | 2018-02-09 | 平安科技(深圳)有限公司 | 接口代理方法及应用服务器 |
| CN107682426B (zh) * | 2017-09-25 | 2021-03-23 | 平安科技(深圳)有限公司 | 接口代理方法及应用服务器 |
| WO2019056693A1 (zh) * | 2017-09-25 | 2019-03-28 | 平安科技(深圳)有限公司 | 接口代理方法及应用服务器 |
| CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
| CN108830078B (zh) * | 2018-05-09 | 2022-04-19 | 中国船舶重工集团公司第七一四研究所 | 一种针对工控设备的恶意代码发现方法 |
| CN109033820A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 用户凭据保护方法、装置与设备 |
| CN110245464A (zh) * | 2018-10-10 | 2019-09-17 | 爱信诺征信有限公司 | 保护文件的方法和装置 |
| CN110245464B (zh) * | 2018-10-10 | 2021-08-27 | 爱信诺征信有限公司 | 保护文件的方法和装置 |
| CN111625812A (zh) * | 2019-02-27 | 2020-09-04 | 阿里巴巴集团控股有限公司 | 操作处理方法及装置 |
| CN111625812B (zh) * | 2019-02-27 | 2023-05-02 | 斑马智行网络(香港)有限公司 | 操作处理方法及装置 |
| CN111310171A (zh) * | 2020-02-21 | 2020-06-19 | 华大半导体有限公司 | 一种硬件级主动防御的实现方法及装置 |
| CN112800416A (zh) * | 2020-12-31 | 2021-05-14 | 航天信息股份有限公司 | 一种用于调用链的安全防护***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101408917A (zh) | 应用程序行为合法性检测方法及*** | |
| CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
| EP2745229B1 (en) | System and method for indirect interface monitoring and plumb-lining | |
| CN1983296B (zh) | 用于防止非法程序窃取用户信息的方法及装置 | |
| AU2006210698B2 (en) | Intrusion detection for computer programs | |
| KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| EP3039608B1 (en) | Hardware and software execution profiling | |
| RU2645268C2 (ru) | Сложное классифицирование для выявления вредоносных программ | |
| CN101414341B (zh) | 一种软件自我保护的方法 | |
| Schrammel et al. | Jenny: Securing Syscalls for {PKU-based} Memory Isolation Systems | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和*** | |
| Feth et al. | Flexible data-driven security for android | |
| KR20130135952A (ko) | 동작 중인 어플리케이션 프로그램을 실행 시 처리처리하기 위한 방법 및 장치 | |
| CN107908958B (zh) | SELinux安全标识符防篡改检测方法及*** | |
| US20160246590A1 (en) | Priority Status of Security Patches to RASP-Secured Applications | |
| CN101872400A (zh) | 建立根据计算***操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 | |
| CN109271787A (zh) | 一种操作***安全主动防御方法及操作*** | |
| CN109446755A (zh) | 内核钩子函数保护方法、装置、设备以及存储介质 | |
| CN113221103B (zh) | 一种容器安全防护方法、***及介质 | |
| CN113486335A (zh) | 一种基于rasp零规则的jni恶意攻击检测方法及装置 | |
| CN112307470A (zh) | 入侵内核的检测方法及装置、计算设备、计算机存储介质 | |
| CN113518055A (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
| CN114547632B (zh) | 信息保护方法、装置、设备及存储介质 | |
| CN111523115B (zh) | 信息确定方法、函数调用方法及电子设备 | |
| US20230394146A1 (en) | Analyzing files using a kernel mode of a virtual machine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090415 |