CN107122663B - 一种注入攻击检测方法及装置 - Google Patents
一种注入攻击检测方法及装置 Download PDFInfo
- Publication number
- CN107122663B CN107122663B CN201710297422.3A CN201710297422A CN107122663B CN 107122663 B CN107122663 B CN 107122663B CN 201710297422 A CN201710297422 A CN 201710297422A CN 107122663 B CN107122663 B CN 107122663B
- Authority
- CN
- China
- Prior art keywords
- executable file
- target process
- file
- determining
- injection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种注入攻击检测方法及装置,可以确定目标进程下的可执行文件的特征值;若目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定目标进程被注入工具攻击;其中,预设值为预先确定的注入工具的特征值。由于是将预先确定的注入工具的特征值作为预设值,与目标进程下的可执行文件的特征值进行比对,因此,当目标进程下的可执行文件的特征值与所述预设值匹配时,说明目标进程下存在注入工具的可执行文件,也即说明目标进程受到了注入攻击;否则,说明目标进程未受到注入攻击。故而,能够检测出目标进程是否受到注入攻击,为及时采取防御措施防止目标进程被注入工具攻击奠定了基础,提升了用户使用应用程序的体验。
Description
技术领域
本申请涉及APP安全技术领域,尤其涉及一种注入攻击检测方法及装置。
背景技术
随着移动互联网产业快速发展,移动应用程序(Application,简称APP)呈井喷式爆发,尤其是应用较为广泛的Android***应用程序。然而,因Android***本身的开源特性,Android***应用程序与个人计算机(personal computer,PC)一样也成为黑客攻击的主要对象,Android***应用程序容易遭受病毒、注入、木马、流氓软件和钓鱼软件的攻击,严重影响了客户端的安全、降低了用户体验和应用程序开发者的收益。
其中,注入攻击主要是指注入工具的攻击。具体攻击方式为:注入工具将自身的可执行文件注入想要攻击的进程。可执行文件注入想要攻击的进程后,后续会被运行,运行结果即对所述进程的相关数据进行操作。例如,对于金融行业应用程序而言,注入工具通过向该应用程序的进程注入可执行文件,修改应用程序业务操作时的数据,比如账号、金额等。因此,如何发现进程是否被注入工具攻击显得非常重要。
发明内容
本申请实施例的目的在于,提供一种注入攻击检测方法及装置,以检测出目标进程是否受到注入工具的攻击。
第一方面,本申请实施例提供了一种注入攻击检测方法,包括:
确定目标进程下的可执行文件的特征值;
若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值。
可选地,所述目标进程是linux***中的进程,所述确定目标进程下的可执行文件的特征值,具体包括:
根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;
根据所述maps文件,确定所述目标进程下的可执行文件的特征值。
可选地,所述可执行文件的特征值包括下述至少一种:
可执行文件的名称;
可执行文件的哈希值。
可选地,当所述可执行文件的特征值为可执行文件的哈希值时,所述根据所述maps文件,确定所述目标进程下的可执行文件的特征值,具体包括:
确定所述maps文件中记录的所述可执行文件的唯一标识;
根据所述唯一标识,确定所述可执行文件;
将所述可执行文件的哈希值作为所述可执行文件的特征值。
可选地,在确定所述目标进程被注入工具攻击后,所述方法还包括:
将目标进程下特征值与所述预设值匹配的可执行文件,确定为注入工具注入目标进程中的非法可执行文件。
可选地,在确定出非法可执行文件后,所述方法还包括:
将所述非法可执行文件删除。
可选地,在确定所述目标进程被注入工具攻击后,所述方法还包括:
结束所述目标进程;和/或,
输出所述目标进程被注入工具攻击的提示信息。
第二方面,本申请实施例还提供了一种注入攻击检测装置,包括:
特征值确定模块,用于确定目标进程下的可执行文件的特征值;
注入攻击确定模块,用于若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值。
可选地,所述目标进程是linux***中的进程,所述特征值确定模块具体包括:第一确定子模块和第二确定子模块;
所述第一确定子模块,用于根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;
所述第二确定子模块,用于根据所述maps文件,确定所述目标进程下的可执行文件的特征值。
可选地,所述装置还包括:
注入攻击处理模块,用于在所述确定所述目标进程被注入工具攻击后,结束所述目标进程;和/或,输出所述目标进程被注入工具攻击的提示信息。
本申请实施例采用的上述至少一个技术方案,由于是将预先确定的注入工具的特征值作为预设值,与目标进程下的可执行文件的特征值进行比对,因此,当目标进程下的可执行文件的特征值与所述预设值匹配时,说明目标进程下存在注入工具的可执行文件,也即说明目标进程受到了注入攻击;否则,说明目标进程未受到注入攻击。故而,能够取得以下有益效果:能够检测出目标进程是否受到注入攻击,为及时采取防御措施防止目标进程被注入工具攻击奠定了基础,提升了用户使用应用程序的体验。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例1提供的一种注入攻击检测方法的流程图;
图2为本申请实施例2提供的一种注入攻击检测方法的流程图;
图3为本申请实施例3提供的一种注入攻击检测方法的流程图;
图4为本申请实施例4提供的一种注入攻击检测装置的结构示意图;
图5为本申请实施例5提供的一种注入攻击检测装置的结构示意图;
图6为本申请实施例6提供的一种注入攻击检测装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决现有技术中存在的问题,本发明实施例提出了一种注入攻击检测方法及装置,以检测出注入攻击,为及时采取防御措施,防止注入工具对应用程序运行时的内存数据进行操作奠定了基础,提升了用户使用应用程序的体验。
下面先对本发明实施例提供的一种注入攻击检测方法进行说明。
首先,需要说明的是,本申请实施例提供的一种注入攻击检测方法的执行主体可以是安装有Android***的电子设备,例如,手机、平板电脑等等。所述的执行主体并不构成对本申请的限定,为了便于描述,本申请实施例均以执行主体是安装有Android***的手机为例进行说明。
实现本申请实施例所提供的一种注入攻击检测方法的功能软件可以为安全软件、安全软件中的功能模块等。所述的功能软件也不构成对本申请的限定。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例1
请参考图1,图1为本发明实施例1提供的一种注入攻击检测方法的流程图。由于待保护的目标应用程序对应的目标进程和注入工具对应的注入进程是两个相互独立的进程,注入进程无法直接操作目标进程中的相关数据,因此,注入工具为了操作目标进程中的相关数据,会向目标进程中注入非法可执行文件,并通过运行这些非法的可执行文件来间接操作目标进程中的相关数据。然而非法可执行文件的特征值和目标进程本身的可执行文件的特征值是不同的。鉴于此,如图1所示,本申请实施例1提供的一种注入攻击检测方法,可以包括:
S101、确定目标进程下的可执行文件的特征值;
S102、若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值。
下面对步骤S101进行详细地介绍。
进程是计算机中的应用程序关于某数据集合上的一次运行活动,是***进行资源分配和调度的基本单位。应用程序启动时,操作***会新建一个进程来执行该应用程序。可执行文件指的是可以由操作***进行加载执行的文件。
通俗地讲,一个运行时的应用程序表现形式是进程,这个应用程序的可执行文件通过虚拟地址映射至进程。比如,当一个进程被创建时,首先创建一个虚拟地址空间,然后读取该进程的可执行文件头,将虚拟地址中的虚拟地址与可执行文件映射起来建立映射关系。
下面以linux***中的目标进程为例,说明步骤S101的一种具体的实现方式,也即所述目标进程是linux***中的进程。
由于linux***下的proc文件***中的maps文件存储的是,进程映射到每个可执行文件和库文件在内存中的映射区域及其访问权限所组成的列表。因此,步骤S101具体可以包括:
步骤1、根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;
Android***是基于Linux内核的操作***,在Linux***中,每一个进程都有一个进程号(PID或pid),进程号是一个正数,用以唯一标识***中的某个进程。
步骤2、根据所述maps文件,确定所述目标进程下的可执行文件的特征值。
本领域技术人员应当明白,Linux***中的/proc目录是一种文件***,即proc文件***。与其它常见的文件***不同的是,proc文件***是一种伪文件***(也即虚拟文件***),proc文件***中存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关***硬件及当前正在运行的进程的信息。
基于proc文件***如上所述的特殊性,proc文件***内的文件也常被称作虚拟文件,并具有一些独特的特点。例如,虽然使用查看命令查看其中的一些文件时会返回大量信息,但这些文件本身的大小却会显示为0字节。
为了查看及使用上的方便,这些虚拟文件通常被按照相关性分类存储于不同的目录甚至子目录中。例如,/proc/scsi目录中存储的是当前***上所有小型计算机***接口(Small Computer System Interface,SCSI)设备的相关信息;/proc/pid中存储的是***当前正在运行的进程的相关信息,其中pid为正在运行的进程的进程号,可以想象得到,在某进程结束后与该进程相关的目录会自动消失。
所述可执行文件的特征值包括下述至少一种:可执行文件的名称、可执行文件的哈希值。可以理解的是,其他能够区分非法可执行文件和合法可执行文件的特征值也适用于本申请,上述两种特征值不应构成对本申请保护范围的限定。
一般而言,非法可执行文件指的是注入工具注入目标进程中的可执行文件,合法可执行文件指的是目标进程自身的可执行文件。
在第一种具体实现方式中,可以将可执行文件的名称单独作为目标进程下的可执行文件的特征值,来确定目标进程是否受到注入攻击。以避免计算可执行文件的哈希值导致的***资源开销。
然而,注入工具有可能会通过修改或隐藏可执行文件的名称的方式规避检测,导致采用第一种具体实现方式获得的检测结果不准确。
因此,在第二种具体实现方式中,如果通过可执行文件的名称确定目标进程未受到注入攻击(采用第一种具体实现方式确定目标进程未受到注入攻击),则进一步将可执行文件的哈希值作为可执行文件的特征值,确定目标进程是否受到注入攻击。以防止注入工具通过修改或隐藏非法可执行文件的名称的方式规避检测,提高检测准确率。
当然,在第三种具体实现方式中,也可以将可执行文件的哈希值单独作为目标进程下的可执行文件的特征值,来确定目标进程是否受到注入攻击,提高检测准确率。
具体的,当所述可执行文件的特征值为可执行文件的哈希值时,上述步骤2,也即所述根据所述maps文件,确定所述目标进程下的可执行文件的特征值的步骤,具体可以包括:
子步骤1、确定所述maps文件中记录的所述各可执行文件的唯一标识;
子步骤2、根据所述唯一标识,确定所述可执行文件;
子步骤3、将所述可执行文件的哈希值作为所述可执行文件的特征值。
其中,可执行文件的唯一标识可以是可执行文件的文件名、文件头等。
由于proc文件***中的/proc/pid/maps文件一般以列表的形式存在(以下简称maps表),在该列表中通常记录有七列数据,其中,第七列记录了进程的可执行文件的唯一标识,并通过该唯一标识映射至相应的可执行文件。
因此,具体实现时,可以根据maps表中第七列记录的可执行文件的唯一标识,查找到对应的可执行文件(二进制文件);采用哈希算法计算查找到的可执行文件的哈希值,并将计算得到的哈希值作为可执行文件的特征值。
哈希算法能将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式,因此能够反映可执行文件的特征。具体计算过程属于现有技术,此处不再赘述。
下面对步骤S102进行详细地说明。
首先,本领域技术人员应当明白,注入工具一般是指,向目标进程注入非法可执行文件,并通过运行这些非法可执行文件来操作目标进程中的相关数据的恶意程序。例如,常见的SQL注入工具。
预先确定的注入工具的特征值,是申请人预先对现有的注入工具进行统计、分析,并提取这些注入工具的可执行文件特征值进行保存而得到的。由于现有的注入工具不止一个,因此,预先确定的注入工具的特征值也不止一个。在具体实现时,申请人将预先确定的注入工具的特征值保存在一个数据库(可以称为注入特征数据库)中。
另外,由于新的注入工具层出不穷,因此,本申请实施例中述及的注入特征数据库并不是一成不变的,该注入特征数据库可以被定时或周期性地更新,以加入新出现的注入工具的特征值,这都是合理的。
本申请实施例1提供的一种注入攻击检测方法,由于是将预先确定的注入工具的特征值作为预设值,与目标进程下的可执行文件的特征值进行比对,因此,当目标进程下的可执行文件的特征值与所述预设值匹配时,说明目标进程下存在注入工具的可执行文件,也即说明目标进程受到了注入攻击;否则,说明目标进程未受到注入攻击。故而,该方法能够检测出目标进程是否受到注入攻击,为及时采取防御措施防止目标进程被注入工具攻击奠定了基础,提升了用户使用应用程序的体验。
另外,需要说明的是,在实施本发明实施例1提供的注入攻击检测方法时,可以对目标进程下的所有可执行文件均执行完步骤S101之后,再去执行步骤S102;也可以对目标进程下的一个可执行文件分别执行完步骤S101和S102之后,确定目标进程未受到注入攻击时,再对目标进程下的另一可执行文件分别执行步骤S101和S102。这都是合理的,并且由于后一种方式有可能只需要对目标进程下少数几个、甚至是一个可执行文件执行步骤S101和S102,就能确定出目标进程受到注入攻击,因此后一种方式能够缩短确定目标进程是否受到注入攻击的时间,提高了注入攻击检测效率。
实施例2
请参考图2,图2为本发明实施例2提供的一种注入攻击检测方法的流程图。图2所示的实施例提供的一种注入攻击检测方法,与图1所示的实施例的不同之处在于,所述方法还可以包括:
S103、将目标进程下特征值与所述预设值匹配的可执行文件,确定为注入工具注入目标进程中的非法可执行文件。
可选地,在步骤S103之后,所述方法还可以包括:
S104、将所述非法可执行文件删除。
不难看出,确定并删除注入工具注入目标进程中的非法可执行文件,是防御注入攻击的有效方式之一,删除后,能够防止注入工具对Android***应用程序运行时的内存数据进行操作,保证了用户数据安全,提升了用户使用应用程序的体验。
实施例3
请参考图3,图3为本发明实施例3提供的一种注入攻击检测方法的流程图。图3所示的实施例提供的一种注入攻击检测方法,与图1或图2所示的实施例的不同之处在于,所述方法还可以包括:
S105、结束所述目标进程;和/或,输出所述目标进程被注入工具攻击的提示信息。
其中,所述提示信息除了包含目标进程被注入工具攻击的信息外,还可以包含:建议信息,例如,建议用户结束目标进程,建议用户采用安全软件对注入工具进行查杀等。
不难理解,结束目标进程和/或输出提示信息也是防御注入攻击的有效方式,也能够防止注入工具对Android***应用程序运行时的内存数据进行操作,保证了用户数据安全,提升了用户使用应用程序的体验。
相应于上述方法实施例,本申请还提供了一种注入攻击检测装置,下面进行详细说明。
实施例4
请参考图4,图4为本发明实施例4提供的一种注入攻击检测装置的结构示意图。如图4所示,本申请实施例4提供的一种注入攻击检测装置,可以包括:
特征值确定模块401,用于确定目标进程下的可执行文件的特征值;
实施例1中已经说明,linux***下的proc文件***中的maps文件存储的是,进程映射到的每个可执行文件和库文件在内存中的映射区域及其访问权限所组成的列表。因此,在一种具体实现方式中,所述特征值确定模块401具体包括:第一确定子模块和第二确定子模块;
第一确定子模块,用于根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;
第二确定子模块,用于根据所述maps文件,确定所述目标进程下的可执行文件的特征值。
具体的,所述可执行文件的特征值包括下述至少一种:可执行文件的名称、可执行文件的哈希值。可以理解的是,其他能够区分非法可执行文件和合法可执行文件的特征值也适用于本申请,上述两种特征值不应构成对本申请保护范围的限定。
当所述可执行文件的特征值为可执行文件的哈希值时,上述第二确定子模块具体可以包括:
第一确定子单元,用于确定所述maps文件中记录的所述可执行文件的唯一标识;
第二确定子单元,用于根据所述唯一标识,确定所述可执行文件;
第三确定子单元,用于将所述可执行文件的哈希值作为所述可执行文件的特征值。
注入攻击确定模块402,用于若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值。
本申请实施例4提供的一种注入攻击检测装置,由于是将预先确定的注入工具的特征值作为预设值,与目标进程下的可执行文件的特征值进行比对,因此,当目标进程下的可执行文件的特征值与所述预设值匹配时,说明目标进程下存在注入工具的可执行文件,也即说明目标进程受到了注入攻击;否则,说明目标进程未受到注入攻击。故而,该装置能够检测出目标进程是否受到注入攻击,为及时采取防御措施防止目标进程被注入工具攻击奠定了基础,提升了用户使用应用程序的体验。
实施例5
请参考图5,图5为本发明实施例5提供的一种注入攻击检测装置的结构示意图。图5所示的实施例提供的一种注入攻击检测装置,与图1所示的实施例的不同之处在于,所述装置还可以包括:
确定模块403,用于将目标进程下特征值与所述预设值匹配的可执行文件,确定为注入工具注入目标进程中的非法可执行文件。
可选地,所述装置还可以包括:
删除模块404,用于将所述非法可执行文件删除。
不难看出,确定并删除注入工具注入目标进程中的非法可执行文件,是防御注入攻击的有效方式之一,删除后,能够防止注入工具对Android***应用程序运行时的内存数据进行操作,保证了用户数据安全,提升了用户使用应用程序的体验。
实施例6
请参考图6,图6为本发明实施例6提供的一种注入攻击检测装置的结构示意图。图6所示的实施例提供的一种注入攻击检测装置,与图4或图5所示的实施例的不同之处在于,所述装置还可以包括:
注入攻击处理模块405,用于在所述确定所述目标进程被注入工具攻击后,结束所述目标进程;和/或,输出所述目标进程被注入工具攻击的提示信息。
不难理解,结束目标进程和/或输出提示信息也是防御注入攻击的有效方式,也能够防止注入工具对Android***应用程序运行时的内存数据进行操作,保证了用户数据安全,提升了用户使用应用程序的体验。
需要说明的是,由于装置实施例基本相似于方法实施例,因此,本申请说明书对装置实施例描述的比较简单,相关之处参见方法实施例即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种注入攻击检测方法,其特征在于,包括:
确定目标进程下的可执行文件的特征值;
若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值,预先确定的注入工具的特征值是预先对已有的注入工具进行统计、分析,并提取这些注入工具的可执行文件特征值而得到的,所述预设值被保存在数据库中且所述数据库被周期性更新;
所述目标进程是linux***中的进程,所述确定目标进程下的可执行文件的特征值,具体包括:根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;根据所述maps文件,确定所述目标进程下的可执行文件的特征值;其中,所述linux***下的所述proc文件***中的所述maps文件存储所述进程映射到每个所述可执行文件和库文件在内存中的映射区域及其访问权限所组成的列表;
其中,所述可执行文件的特征值包括下述至少一种:
可执行文件的名称;可执行文件的哈希值;
其中,当所述可执行文件的特征值为可执行文件的哈希值时,所述根据所述maps文件,确定所述目标进程下的可执行文件的特征值,具体包括:
确定所述maps文件中记录的所述可执行文件的唯一标识;
根据所述唯一标识,确定所述可执行文件;
将所述可执行文件的哈希值作为所述可执行文件的特征值;
其中,所述可执行文件的唯一标识为所述可执行文件的文件名、文件头。
2.根据权利要求1所述的方法,其特征在于,在确定所述目标进程被注入工具攻击后,所述方法还包括:
将目标进程下特征值与所述预设值匹配的可执行文件,确定为注入工具注入目标进程中的非法可执行文件。
3.根据权利要求2所述的方法,其特征在于,在确定出非法可执行文件后,所述方法还包括:
将所述非法可执行文件删除。
4.根据权利要求1-3任一项所述的方法,其特征在于,在确定所述目标进程被注入工具攻击后,所述方法还包括:
结束所述目标进程;和/或,
输出所述目标进程被注入工具攻击的提示信息。
5.一种注入攻击检测装置,其特征在于,包括:
特征值确定模块,用于确定目标进程下的可执行文件的特征值;
注入攻击确定模块,用于若所述目标进程下的可执行文件的特征值中,存在与预设值匹配的特征值,则确定所述目标进程被注入工具攻击;其中,所述预设值为预先确定的注入工具的特征值,预先确定的注入工具的特征值是预先对已有的注入工具进行统计、分析,并提取这些注入工具的可执行文件特征值而得到的,所述预设值被保存在数据库中且所述数据库被周期性更新;
所述目标进程是linux***中的进程,所述特征值确定模块具体包括:第一确定子模块和第二确定子模块;
所述第一确定子模块,用于根据目标进程的进程号,确定proc文件***中与所述进程号匹配的maps文件;
所述第二确定子模块,用于根据所述maps文件,确定所述目标进程下的可执行文件的特征值;
所述linux***下的所述proc文件***中的所述maps文件存储所述进程映射到每个所述可执行文件和库文件在内存中的映射区域及其访问权限所组成的列表;
其中,所述可执行文件的特征值包括下述至少一种:
可执行文件的名称;可执行文件的哈希值;
当所述可执行文件的特征值为可执行文件的哈希值时,所述第二确定子模块包括:
第一确定子单元,用于确定所述maps文件中记录的所述可执行文件的唯一标识;
第二确定子单元,用于根据所述唯一标识,确定所述可执行文件;
第三确定子单元,用于将所述可执行文件的哈希值作为所述可执行文件的特征值;
其中,所述可执行文件的唯一标识为所述可执行文件的文件名、文件头。
6.根据权利要求5所述的装置,其特征在于,还包括:
注入攻击处理模块,用于在所述确定所述目标进程被注入工具攻击后,结束所述目标进程;和/或,输出所述目标进程被注入工具攻击的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710297422.3A CN107122663B (zh) | 2017-04-28 | 2017-04-28 | 一种注入攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710297422.3A CN107122663B (zh) | 2017-04-28 | 2017-04-28 | 一种注入攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107122663A CN107122663A (zh) | 2017-09-01 |
| CN107122663B true CN107122663B (zh) | 2021-04-02 |
Family
ID=59726066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710297422.3A Active CN107122663B (zh) | 2017-04-28 | 2017-04-28 | 一种注入攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107122663B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197041B (zh) * | 2017-12-28 | 2021-09-28 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN111753301B (zh) * | 2020-07-01 | 2024-04-09 | 深信服科技股份有限公司 | 一种无文件攻击检测方法、装置、电子设备和介质 |
| CN113350799A (zh) * | 2021-05-26 | 2021-09-07 | 上海蛮犀科技有限公司 | 一种移动应用防修改器的安全防护方法 |
| CN116661975B (zh) * | 2023-07-21 | 2023-10-13 | 天津卓朗昆仑云软件技术有限公司 | 进程运行控制方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1980237A (zh) * | 2005-12-09 | 2007-06-13 | 北京瑞星国际软件有限公司 | 识别访问网络的模块的方法及装置 |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web***的自动化渗透性测试***和方法 |
| CN101414278A (zh) * | 2008-12-01 | 2009-04-22 | 浙大网新科技股份有限公司 | 基于动态反编译技术的二进制应用程序调试方法 |
| CN102368257A (zh) * | 2010-10-06 | 2012-03-07 | 微软公司 | 动态内容中的跨站点脚本阻止 |
| CN104123489A (zh) * | 2014-07-02 | 2014-10-29 | 珠海市君天电子科技有限公司 | 可执行程序的监控方法和装置 |
| CN104462968A (zh) * | 2014-12-16 | 2015-03-25 | 北京奇虎科技有限公司 | 恶意应用程序的扫描方法、装置和*** |
| WO2016095489A1 (zh) * | 2014-12-18 | 2016-06-23 | 中兴通讯股份有限公司 | 一种可执行模块的提供、加载方法、终端、存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101950339B (zh) * | 2010-09-14 | 2012-01-25 | 上海置水软件技术有限公司 | 一种电脑安全防护方法和*** |
| US9473485B2 (en) * | 2011-03-21 | 2016-10-18 | Blue Cedar Networks, Inc. | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing |
| US8997239B2 (en) * | 2011-03-31 | 2015-03-31 | Infosys Limited | Detecting code injections through cryptographic methods |
| CN102750490B (zh) * | 2012-03-23 | 2014-10-22 | 南京邮电大学 | 一种基于协作免疫网络进化算法的病毒检测方法 |
| CN102855274B (zh) * | 2012-07-17 | 2015-12-09 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| US9063721B2 (en) * | 2012-09-14 | 2015-06-23 | The Research Foundation For The State University Of New York | Continuous run-time validation of program execution: a practical approach |
| CN103929440B (zh) * | 2014-05-09 | 2017-10-17 | 国家电网公司 | 基于web服务器缓存匹配的网页防篡改装置及其方法 |
| CN104091121B (zh) * | 2014-06-12 | 2017-07-18 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
| CN104318160B (zh) * | 2014-10-29 | 2017-12-26 | 北京奇虎科技有限公司 | 查杀恶意程序的方法和装置 |
| CN104392176A (zh) * | 2014-12-12 | 2015-03-04 | 北京奇虎科技有限公司 | 移动终端及其设备管理器权限的拦截方法 |
-
2017
- 2017-04-28 CN CN201710297422.3A patent/CN107122663B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1980237A (zh) * | 2005-12-09 | 2007-06-13 | 北京瑞星国际软件有限公司 | 识别访问网络的模块的方法及装置 |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web***的自动化渗透性测试***和方法 |
| CN101414278A (zh) * | 2008-12-01 | 2009-04-22 | 浙大网新科技股份有限公司 | 基于动态反编译技术的二进制应用程序调试方法 |
| CN102368257A (zh) * | 2010-10-06 | 2012-03-07 | 微软公司 | 动态内容中的跨站点脚本阻止 |
| CN104123489A (zh) * | 2014-07-02 | 2014-10-29 | 珠海市君天电子科技有限公司 | 可执行程序的监控方法和装置 |
| CN104462968A (zh) * | 2014-12-16 | 2015-03-25 | 北京奇虎科技有限公司 | 恶意应用程序的扫描方法、装置和*** |
| WO2016095489A1 (zh) * | 2014-12-18 | 2016-06-23 | 中兴通讯股份有限公司 | 一种可执行模块的提供、加载方法、终端、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "基于Simhash的SQL注入漏洞检测技术研究";池水明等;《计算机时代》;20140315;第3-5页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107122663A (zh) | 2017-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110009334B (zh) | 一种构建梅克尔树、简单支付验证方法及装置 | |
| CN107122663B (zh) | 一种注入攻击检测方法及装置 | |
| TW201807576A (zh) | 對用於應用二進位碼的經更新的版本的目標應用功能的虛擬記憶體位址進行更新 | |
| CN109062582B (zh) | 一种应用安装包的加密方法及装置 | |
| US20230144818A1 (en) | Malicious software detection based on api trust | |
| KR101685014B1 (ko) | 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치 | |
| TWI554907B (zh) | Trojan horse detection method and device | |
| CN111008034B (zh) | 一种补丁生成方法及装置 | |
| US11675905B2 (en) | System and method for validating in-memory integrity of executable files to identify malicious activity | |
| CN108898012B (zh) | 检测非法程序的方法和装置 | |
| US11886350B2 (en) | System memory context determination for integrity monitoring and related techniques | |
| CN114021115A (zh) | 恶意应用程序的检测方法、装置、存储介质及处理器 | |
| CN109933986B (zh) | 恶意代码检测方法及装置 | |
| Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
| CN106911635B (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| CN114297630A (zh) | 恶意数据的检测方法、装置、存储介质及处理器 | |
| CN112580066A (zh) | 一种数据保护方法及装置 | |
| CN112445805A (zh) | 一种数据的查询方法及装置 | |
| WO2024125108A1 (zh) | 移动端安全切面的按需开启方法及装置 | |
| CN103713945A (zh) | 游戏的识别方法和装置 | |
| CN108985096B (zh) | 一种Android SQLite数据库安全增强、安全操作方法以及装置 | |
| Srivastava et al. | Detecting code injection by cross-validating stack and VAD information in windows physical memory | |
| CN110659296A (zh) | 存储方法、装置、设备以及计算机可读介质 | |
| CN111104669A (zh) | 破解检测方法、装置、***、服务器、终端及存储介质 | |
| CN105975860B (zh) | 一种信任文件管理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 101 and 102, 1st floor, building 7, 219 Tianhua 2nd Road, high tech Zone, Chengdu, Sichuan 610094 Applicant after: Chengdu Bangbang Information Technology Consulting Service Co.,Ltd. Address before: No. 501, 5th floor, building 6, No. 599, shijicheng South Road, high tech Zone, Chengdu, Sichuan 610000 Applicant before: CHENGDU BANGBANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210311 Address after: 100083 rooms 1-3, 20 / F, block a, Tiangong building, No.30 Xueyuan Road, Haidian District, Beijing Applicant after: BEIJING BANGCLE TECHNOLOGY Co.,Ltd. Applicant after: Chengdu Bangbang Information Technology Consulting Service Co.,Ltd. Address before: Room 101 and 102, 1st floor, building 7, 219 Tianhua 2nd Road, high tech Zone, Chengdu, Sichuan 610094 Applicant before: Chengdu Bangbang Information Technology Consulting Service Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211210 Address after: 100083 rooms 1-3, 20 / F, block a, Tiangong building, No.30 Xueyuan Road, Haidian District, Beijing Patentee after: BEIJING BANGCLE TECHNOLOGY Co.,Ltd. Address before: 100083 rooms 1-3, 20 / F, block a, Tiangong building, No.30 Xueyuan Road, Haidian District, Beijing Patentee before: BEIJING BANGCLE TECHNOLOGY Co.,Ltd. Patentee before: Chengdu Bangbang Information Technology Consulting Service Co.,Ltd. |