CN106991328A - 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 - Google Patents
一种基于动态内存指纹异常分析的漏洞利用检测识别方法 Download PDFInfo
- Publication number
- CN106991328A CN106991328A CN201710202771.2A CN201710202771A CN106991328A CN 106991328 A CN106991328 A CN 106991328A CN 201710202771 A CN201710202771 A CN 201710202771A CN 106991328 A CN106991328 A CN 106991328A
- Authority
- CN
- China
- Prior art keywords
- heap
- vulnerability exploit
- fingerprint
- dram
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种基于动态内存指纹异常分析的漏洞利用检测识别方法,步骤如下:1、将动态链接库文件注入到目标进程中;2、申请向量化异常处理函数;3、开启数据执行保护;4、分配随机大小不可访问的内存块;5、申请内存占用HeapSpray地址;6、监控进程堆的堆块分布情况;7、对加载的模块进行重选基址;8、申请地址为0x1的不可访问属性的内存块;9、接管最终异常事件;10、劫持特定接口函数,对调用环境进行行为识别;11、劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;12、监控内核态下对用户层地址的访问执行情况;通过以上步骤,达到了检测漏洞攻击的效果,解决了现有防护技术中流程复杂,存在滞后期,兼容性差的问题。
Description
一.技术领域
本发明提供一种基于动态内存指纹异常分析的漏洞利用检测识别方法,它涉及漏洞利用检测识别方法,属于网络安全技术领域。
二.背景技术
漏洞是指一个***存在的弱点或缺陷,***对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作***设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息***被攻击或控制,重要资料被窃取,用户数据被篡改,***被作为入侵其他主机***的跳板。近年来针对于政府,军工,***门,科研单位及企业的高级持续性威胁(APT-Advanced Persistent Threat)事件持续增涨,而漏洞利用是其中的主要攻击手段。
面对日益增强的漏洞利用技巧,现有的防护方式有以下几种类型,且都存在明显的缺点:
1.通过对漏洞程序打补丁或及时升级程序到最新版本。该方法对于已知的漏洞可以起到较好的防护,但是更新一个大环境的软件版本工程量大,消耗周期长,流程复杂,且不能保证新版本没有漏洞,若攻击者较早的发现漏洞,可在补丁发布前利用该漏洞进行攻击。
2.通过静态特征扫描识别漏洞。该方法需要结合人工分析,对技术人员有较高的技术要求,且存在一定时间的滞后期,即捕获到样本到分析后添加规则这段时间,该漏洞利于可能已经造成了较大的破坏,无法进行未知漏洞的检测及防护。
3.依赖操作***本身提供的安全机制。操作***本身会提供针对于漏洞的防护措施,但是这些防护措施不能兼容其版本之下的操作***且部分需要编译环境或硬件的支持,防护覆盖面积小,兼容性差,整体环境做***升级成本较大,耗费时间长。
三.发明内容
1.发明目的
鉴于上述问题,本发明提供了一种基于动态内存指纹异常分析的漏洞利用检测识别方法,目的在于能够准确及时的防御识别包含已知漏洞及未知漏洞的利用手段,并解决上述明显的缺陷问题,从而快速进行应急响应,保护环境***的安全。
2.技术方案
本发明一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其步骤如下:
步骤1:将本发明开发的动态链接库文件注入到目标进程中;
步骤2:在目标进程中申请一个向量化异常处理函数(VEH-Vector ExceptionHandler)接管异常过程;
步骤3:开启数据执行保护(DEP-Data Execution Prevention);
步骤4:按地址低到高顺序的分配随机大小的内存块,内存保护属性设置为不可访问;
步骤5:申请内存占用常见的堆喷射(heap-spray)地址;
步骤6:创建线程监控进程堆的堆块分布情况;
步骤7:劫持动态链接库加载流程中NTDLL模块里被调用的接口函数(API-Application Programming Interface),对动态加载的特定模块进行重选基址操作;
步骤8:申请地址为0x1的内存块,内存保护属性设置为不可访问;
步骤9:申请最终异常函数,接管最终异常事件;
步骤10:劫持漏洞利用中所有使用率高的接口函数,对调用环境根据进程做异常检测并对处于漏洞利用模块黑名单的模块进行关联性的行为识别;
步骤11:劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;
步骤12:监控内核态(ring0)下,对用户层地址的访问执行情况;
其中,步骤1中所述的“目标进程”,它是指受到本发明保护的进程。
其中,步骤1中所述的“动态链接库文件”,它是指一种不可执行的二进制程序文件,它允许程序共享执行特殊任务所必需的代码和其他资源。
其中,步骤2中所述的“在目标进程中申请一个向量化异常处理函数(VEH-VectorException Handler)接管异常过程”,其做法如下:调用操作***接口函数AddVectoredExceptionHandler,注册一个处理函数,用于处理进程中发生的异常中断。
其中,步骤3中所述的“开启数据执行保护”,其做法如下:获取kernel32模块中GetSystemDEPPolicy,GetProcessDEPPolicy,SetProcessDEPPolicy接口函数的地址,通过前两个接口函数检测***及当前进程的数据执行保护配置信息,通过第三个函数开启数据执行保护,将栈空间及堆空间内存保护设置为不可执行状态。
其中,步骤4中所述的“不可访问”,它是指内存保护属性为PAGE_NOACCESS。
其中,步骤5中所述的“堆喷射(heap-spray)”,它是指一种漏洞利用技术,用来促进任意代码执行,将堆中某段字节序列放置到目标进程的预定位置。
其中,步骤5中所述的“申请内存占用常见的堆喷射(heap-spray)地址”,其做法如下:提前分配目前常见的heap-spray地址,如0x0a0a0a0a,0x0c0c0c0c0c,申请方法是本领域的常见技术。
其中,步骤6中所述的“创建线程监控进程堆的堆块分布情况”,其做法如下:创建一个工作线程,循环遍历当前进程堆中的堆块,检测相同大小堆块的数量,判断堆块数量并且单个大小是否超过临界值。
其中,步骤7中所述的“特定模块”,它是指没有开启/DYNAMICBASE并带有重定位表的模块。
其中,步骤7中所述的“劫持动态链接库加载流程中NTDLL模块里被调用的接口函数(API-Application Programming Interface),对动态加载的特定模块进行重选基址操作”,其做法如下:修改NTDLL的导出函数NtMapViewOfSection,在动态链接库文件动态加载时,判断该文件的重定位信息,释放原来的映射区内存并申请一部分内存占用该地址,重新申请映射原来的内存区。
其中,步骤9中所述的“申请最终异常函数,接管最终异常事件”,其做法如下:调用操作***接口函数,注册一个最终异常处理函数,用于处理进程中发生的进程崩溃异常。
其中,步骤10中所述的“劫持漏洞利用中所有使用率高的接口函数”,其做法如下:挂钩(HOOK)漏洞利用过程中的常见接口函数,如LoadLibraryExW,LoadLibraryExA,VirtualAllocEx,VirtualProtectEx,Virtual Protect,VirtualAlloc,WinExec,CreateFileA等。
其中,步骤10中所述的“对调用环境根据进程做异常检测”,其做法如下:检测栈指针寄存器是否位于当前线程信息块中所保存的栈地址的起始范围内,检测异常处理链的完整型,检测调用者是否为Call指令,检测指定层次数的栈回溯链路环境是否异常。
其中,步骤10中所述的“行为识别”,它是指在加载了黑名单模块后,发出的异常行为检测,即白名单行为之外的行为,用于检测非内存破坏型漏洞利用手段。
其中,步骤10中所述的“对处于漏洞利用模块黑名单的模块进行关联性的行为识别”,其做法如下:监控处于漏洞发生黑名单的模块加载时,开启此模式,用于检测进程中的异常行为,如IEXPLORE创建Powershell进程。
其中,步骤11中所述的“访问令牌”,它是指,每一个运行中的程序都有一个访问令牌(access token),它是一组描述权限的数据信息。
其中,步骤11中所述的“劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为”,其做法如下:收集当前***环境中的拥有system权限进程的进程ID,在线程调度CR3寄存器切换的时候,检测当前进程是否位于收集的进程ID中,同时检测SecurityDescriptor指针置0的行为。
通过以上步骤,本发明实现了基于动态内存指纹异常分析的漏洞利用检测识别方法,结合***的防护措施,达到了检测识别漏洞攻击的的效果,解决了现有防护技术中流程复杂,存在滞后期,兼容性差的问题。
3.优点
借由上述技术方案,本发明通过动态的方式,结合***的防护措施,独立实现一套基于动态内存指纹异常分析的漏洞利用检测识别方法,***支持率及程序兼容性高,成本低,漏洞利用覆盖面积广,可以有效及时的检测识别漏洞利用(exploit)中(包括未知漏洞)的大多数技术手段。
四.附图说明
图1是本发明所述方法流程示意图。
图2是本发明方法对接口函数调用时的异常检测流程示意图。
图3是本发明方法异常处理流程示意图。
五.具体实施方式
为了解决现有技术提供的漏洞利用检测方案中的缺点,即无法检测未知类型漏洞,兼容性差覆盖面积小等问题,本发明方法提供了一种漏洞利用的检测识别方案,通过将保护模块注入到目标进程,布置内存至防御的理想状态,监控目标进程的行为并进行动态的分析,来识别漏洞利用的攻击手段,不局限于已知漏洞利用,起到保护进程及***环境的效果。
为了使本发明方法的目的,技术方案更清楚明白,以下结合附图进行进一步的详细说明。
参见图1,为本发明方法的漏洞利用检测识别流程示意图,本发明一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其具体流程步骤如下:
步骤S101:将漏洞利用检测模块即由技术人员开发的保护模块注入到待保护的目标进程中。
步骤S102:在目标进程中申请向量化异常处理函数,接管进程中的异常中断信息,见图3步骤如下,包含步骤S301-步骤S305:
步骤S301:目标进程内部发生异常中断,被保护模块的向量化异常处理接管。
步骤S302:过滤掉非异常访问所发出的异常中断。
步骤S303:判断该次异常中断行为是和由保护模块在初始化中所进行的内存部署有关。
步骤S304:如果没有关系,结束本次异常处理过程。
步骤S305:步骤304执行失败,发出警告,检测到漏洞利用的攻击手段。
步骤S103:检测***的数据执行保护配置信息,在支持未开启的状态下,通过kelner32模块导出的接口函数SetProcessDEPPolicy进行设置打开,将堆、栈地址空间内存保护属性设置为不可执行状态。
步骤S104:从低地址到高地址的顺序申请随机数量,随机大小的内存块,并通过修改相关页面的PAGE TABLE ENTRY(PTE),加入特殊标识位,设置其内存保护属性为不可访问状态。
步骤S105:在目标进程中申请常用的堆喷射覆盖地址,即0x0C0C0C0C等流行地址,并通过修改相关页面的PAGE TABLE ENTRY(PTE),加入特殊标识位,设置其内存保护属性为不可访问状态。
步骤S106:创建一个工作线程,用于检测进程堆环境的内存块分配情况,对一定大小之上的同大小堆块数量超过临界值的堆环境发出漏洞利用警告。
步骤S107:劫持动态模块加载过程中的接口函数,在没有开启/DYNAMICBASE状态且拥有重定位表的动态链接库模块加载时,强行在原加载地址申请内存占用该位置,强迫该动态链接库模块加载到其他位置。
步骤S108:申请地址从0x1开始的一段内存,通过修改相关页面的PAGE TABLEENTRY(PTE),加入特殊标识位,设置其内存保护属性为不可访问状态。
步骤S109:在当前进程空间中设置最终异常处理函数,接管最终异常事件。
步骤S110:劫持漏洞利用中,被频繁使用的接口函数,对其流程进行异常检测,见图2步骤如下,包含步骤S201-步骤S208:
步骤S201:对本次函数调用过程的参数进行异常检测,如VirtualProtect接口函数的lpAddress参数是否位于栈地址空间且flNewProtect参数是否带有可执行的标识位,如参数异常,执行到步骤S208。
步骤S202:检查当前环境中的栈指针寄存器是否位于栈地址空间之内,如不属于该范围,发出异常,执行到步骤S208。
步骤S203:检测当前环境中,在本次接口函数调用是的异常处理链是否完整,如存在异常,执行到步骤S208。
步骤S204:检测该接口函数的调用者是否为“Call”指令,如果不是,发出异常,并执行到步骤S208。
步骤S205:对本次函数调用进行栈回溯的链路环境分析,检测该链路是否正常,地址环境是否存在于白名单中,如有异常,执行到步骤S208。
步骤S206:在经常发生漏洞的模块黑名单加载时,开启此模式,用于检测进程中的异常行为,如IEXPLORE创建Powershell进程。
步骤S207:如步骤S206检测无异常,则本次检测结束,等待下次接口函数的调用。
步骤S208:发出警告,检测到漏洞利用的攻击手段。
步骤S111:劫持当前***的线程调度,使其事件发生时检测应用程序是否发生访问令牌改变的情况,添加对象头结构体中SecurityDescriptor指针为0的检测。
步骤S112:监控内核态下代码对用户层内存的访问及执行情况,该事件发生时发出警告,检测到漏洞利用攻击手段。
Claims (10)
1.一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:其步骤如下:
步骤1:将开发的动态链接库文件注入到目标进程中;
步骤2:在目标进程中申请一个向量化异常处理函数即VEH-Vector ExceptionHandler接管异常过程;
步骤3:开启数据执行保护即DEP-Data Execution Prevention;
步骤4:按地址低到高顺序的分配随机大小的内存块,内存保护属性设置为不可访问;
步骤5:申请内存占用常见的堆喷射即heap-spray地址;
步骤6:创建线程监控进程堆的堆块分布情况;
步骤7:劫持动态链接库加载流程中NTDLL模块里被调用的接口函数即API-Application Programming Interface,对动态加载的特定模块进行重选基址操作;
步骤8:申请地址为0x1的内存块,内存保护属性设置为不可访问;
步骤9:申请最终异常函数,接管最终异常事件;
步骤10:劫持漏洞利用中所有使用率高的接口函数,对调用环境根据进程做异常检测并对处于漏洞利用模块黑名单的模块进行关联性的行为识别;
步骤11:劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为;
步骤12:监控内核态即ring0下,对用户层地址的访问执行情况;
通过以上步骤,实现了基于动态内存指纹异常分析的漏洞利用检测识别方法,结合***的防护措施,达到了检测识别漏洞攻击的的效果,解决了现有防护技术中流程复杂,存在滞后期,兼容性差的问题。
2.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤1中所述的“目标进程”,是指受到本发明保护的进程;所述的“动态链接库文件”,是指一种不可执行的二进制程序文件,它允许程序共享执行特殊任务所必需的代码和其他资源。
3.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤2中所述的“在目标进程中申请一个向量化异常处理函数即VEH-VectorException Handler接管异常过程”,其做法如下:调用操作***接口函数AddVectoredExceptionHandler,注册一个处理函数,用于处理进程中发生的异常中断。
4.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤3中所述的“开启数据执行保护”,其做法如下:获取kernel32模块中GetSystemDEPPolicy,GetProcessDEPPolicy,SetProcessDEPPolicy接口函数的地址,通过前两个接口函数检测***及当前进程的数据执行保护配置信息,通过第三个函数开启数据执行保护,将栈空间及堆空间内存保护设置为不可执行状态。
5.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤5中所述的“堆喷射即heap-spray”,它是指一种漏洞利用技术,用来促进任意代码执行,将堆中某段字节序列放置到目标进程的预定位置;
所述的“申请内存占用常见的堆喷射即heap-spray地址”,其做法如下:提前分配目前常见的heap-spray地址,如0x0a0a0a0a,0x0c0c0c0c0c,申请方法是本领域的常见技术。
6.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤6中所述的“创建线程监控进程堆的堆块分布情况”,其做法如下:创建一个工作线程,循环遍历当前进程堆中的堆块,检测相同大小堆块的数量,判断堆块数量并且单个大小是否超过临界值。
7.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤7中所述的“特定模块”,它是指没有开启/DYNAMICBASE并带有重定位表的模块;
所述的“劫持动态链接库加载流程中NTDLL模块里被调用的接口函数即API-Application Programming Interface,对动态加载的特定模块进行重选基址操作”,其做法如下:修改NTDLL的导出函数NtMapViewOfSection,在动态链接库文件动态加载时,判断该文件的重定位信息,释放原来的映射区内存并申请一部分内存占用该地址,重新申请映射原来的内存区。
8.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤9中所述的“申请最终异常函数,接管最终异常事件”,其做法如下:调用操作***接口函数,注册一个最终异常处理函数,用于处理进程中发生的进程崩溃异常。
9.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤10中所述的“劫持漏洞利用中所有使用率高的接口函数”,其做法如下:挂钩(HOOK)漏洞利用过程中的常见接口函数,如
LoadLibraryExW,LoadLibraryExA,VirtualAllocEx,VirtualProtectEx,VirtualProtect,VirtualAlloc,WinExec,CreateFileA;
在步骤10中所述的“对调用环境根据进程做异常检测”,其做法如下:检测栈指针寄存器是否位于当前线程信息块中所保存的栈地址的起始范围内,检测异常处理链的完整型,检测调用者是否为Call指令,检测指定层次数的栈回溯链路环境是否异常;
在步骤10中所述的“行为识别”,它是指在加载了黑名单模块后,发出的异常行为检测,即白名单行为之外的行为,用于检测非内存破坏型漏洞利用手段;
在步骤10中所述的“对处于漏洞利用模块黑名单的模块进行关联性的行为识别”,其做法如下:监控处于漏洞发生黑名单的模块加载时,开启此模式,用于检测进程中的异常行为,如IEXPLORE创建Powershell进程。
10.根据权利要求1所述的一种基于动态内存指纹异常分析的漏洞利用检测识别方法,其特征在于:
在步骤11中所述的“访问令牌”,它是指,每一个运行中的程序都有一个访问令牌即access token,它是一组描述权限的数据信息;
在步骤11中所述的“劫持线程调度过程,监控目标进程的访问令牌及SecurityDescriptor指针的变更行为”,其做法如下:收集当前***环境中的拥有system权限进程的进程ID,在线程调度CR3寄存器切换的时候,检测当前进程是否位于收集的进程ID中,同时检测SecurityDescriptor指针置0的行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202771.2A CN106991328B (zh) | 2017-03-30 | 2017-03-30 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202771.2A CN106991328B (zh) | 2017-03-30 | 2017-03-30 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106991328A true CN106991328A (zh) | 2017-07-28 |
| CN106991328B CN106991328B (zh) | 2019-11-29 |
Family
ID=59411896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710202771.2A Active CN106991328B (zh) | 2017-03-30 | 2017-03-30 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106991328B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291480A (zh) * | 2017-08-15 | 2017-10-24 | 中国农业银行股份有限公司 | 一种函数调用方法及装置 |
| CN108133149A (zh) * | 2018-01-11 | 2018-06-08 | 武汉斗鱼网络科技有限公司 | 一种数据保护方法、装置及电子设备 |
| CN108959938A (zh) * | 2018-07-05 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 检测漏洞利用的方法、装置、存储介质及设备 |
| CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及*** |
| CN112307482A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 基于靶场的入侵内核检测方法及装置、计算设备 |
| US11169869B1 (en) | 2020-07-08 | 2021-11-09 | International Business Machines Corporation | System kernel error identification and reporting |
| WO2024112272A1 (en) | 2022-11-24 | 2024-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Using memory page offsets to detect cybersecurity attacks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902481A (zh) * | 2010-08-10 | 2010-12-01 | 厦门市美亚柏科信息股份有限公司 | 一种网页木马实时监测方法及其装置 |
| CN102622543A (zh) * | 2012-02-06 | 2012-08-01 | 北京百度网讯科技有限公司 | 一种动态检测恶意网页脚本的方法和装置 |
| CN103632093A (zh) * | 2013-09-17 | 2014-03-12 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN103714292A (zh) * | 2014-01-15 | 2014-04-09 | 四川师范大学 | 一种漏洞利用代码的检测方法 |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
| CN104217163A (zh) * | 2014-09-10 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种检测结构化异常处理攻击的方法及装置 |
| US9336386B1 (en) * | 2013-06-12 | 2016-05-10 | Palo Alto Networks, Inc. | Exploit detection based on heap spray detection |
-
2017
- 2017-03-30 CN CN201710202771.2A patent/CN106991328B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902481A (zh) * | 2010-08-10 | 2010-12-01 | 厦门市美亚柏科信息股份有限公司 | 一种网页木马实时监测方法及其装置 |
| CN102622543A (zh) * | 2012-02-06 | 2012-08-01 | 北京百度网讯科技有限公司 | 一种动态检测恶意网页脚本的方法和装置 |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
| US9336386B1 (en) * | 2013-06-12 | 2016-05-10 | Palo Alto Networks, Inc. | Exploit detection based on heap spray detection |
| CN103632093A (zh) * | 2013-09-17 | 2014-03-12 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN103714292A (zh) * | 2014-01-15 | 2014-04-09 | 四川师范大学 | 一种漏洞利用代码的检测方法 |
| CN104217163A (zh) * | 2014-09-10 | 2014-12-17 | 珠海市君天电子科技有限公司 | 一种检测结构化异常处理攻击的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 杨明 等: "高混淆网页木马的研究与检测实现", 《计算机工程与设计》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291480A (zh) * | 2017-08-15 | 2017-10-24 | 中国农业银行股份有限公司 | 一种函数调用方法及装置 |
| CN107291480B (zh) * | 2017-08-15 | 2020-12-15 | 中国农业银行股份有限公司 | 一种函数调用方法及装置 |
| CN108133149A (zh) * | 2018-01-11 | 2018-06-08 | 武汉斗鱼网络科技有限公司 | 一种数据保护方法、装置及电子设备 |
| CN108959938A (zh) * | 2018-07-05 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 检测漏洞利用的方法、装置、存储介质及设备 |
| CN112307482A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 基于靶场的入侵内核检测方法及装置、计算设备 |
| US11169869B1 (en) | 2020-07-08 | 2021-11-09 | International Business Machines Corporation | System kernel error identification and reporting |
| CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及*** |
| CN112134875B (zh) * | 2020-09-18 | 2022-04-05 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及*** |
| WO2024112272A1 (en) | 2022-11-24 | 2024-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Using memory page offsets to detect cybersecurity attacks |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106991328B (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106991328B (zh) | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 | |
| CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
| EP3326100B1 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
| CN104520867B (zh) | 用于目标装置的主动监测、存储器保护和完整性验证的方法、***和计算机可读介质 | |
| CN104217157B (zh) | 一种漏洞防利用方法及*** | |
| EP3654218B1 (en) | Method for detecting malicious code and deferring countermeasures | |
| CN104756129B (zh) | 用于在数据处理器的不同操作域之间切换的安全机制 | |
| US8645923B1 (en) | Enforcing expected control flow in program execution | |
| Parameswaran et al. | Embedded systems security—an overview | |
| CN103620613A (zh) | 用于基于虚拟机监视器的反恶意软件安全的***和方法 | |
| WO2006082380A1 (en) | Intrusion detection for computer programs | |
| CN104881610B (zh) | 一种针对虚函数表劫持攻击的防御方法 | |
| US20070266435A1 (en) | System and method for intrusion detection in a computer system | |
| CN113412483B (zh) | 具有针对地址探测的增加的阻力的计算设备 | |
| CN107450964A (zh) | 一种用于发现虚拟机自省***中是否存在漏洞的方法 | |
| CN106156621A (zh) | 一种检测虚拟机逃逸的方法及装置 | |
| McGraw | Building secure software: better than protecting bad software | |
| Xu et al. | BofAEG: Automated stack buffer overflow vulnerability detection and exploit generation based on symbolic execution and dynamic analysis | |
| US9881155B2 (en) | System and method for automatic use-after-free exploit detection | |
| Liu et al. | Binary exploitation in industrial control systems: Past, present and future | |
| Barbu et al. | Application-replay attack on Java Cards: when the garbage collector gets confused | |
| CN109271787A (zh) | 一种操作***安全主动防御方法及操作*** | |
| Moon et al. | Architectural supports to protect OS kernels from code-injection attacks and their applications | |
| CN107562616A (zh) | 一种uaf漏洞利用判断方法及装置 | |
| Wang et al. | IRePf: An Instruction Reorganization Virtual Platform for Kernel Stack Overflow Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |