[發明專利]終端設備系統防護方法及裝置在審
| 申請號: | 201811640526.0 | 申請日: | 2018-12-29 |
| 公開(公告)號: | CN109726560A | 公開(公告)日: | 2019-05-07 |
| 發明(設計)人: | 胡彬;黃瀚;李宇;李宗越;王騰;王宜云;盧楊漸;黃鑒廷 | 申請(專利權)人: | 360企業安全技術(珠海)有限公司;北京奇安信科技有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 北京中強智尚知識產權代理有限公司 11448 | 代理人: | 黃耀威 |
| 地址: | 519085 廣東省珠海市高新區唐家*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 終端設備系統 終端設備 操作行為 防護 應用程序 調用棧 安全技術領域 動態鏈接庫 安全行為 特征檢測 危險行為 系統進程 非系統 加載 捕獲 判定 攻擊 漏洞 進程 | ||
1.一種終端設備系統防護方法,其特征在于,包括:
在終端設備本地捕獲應用程序對所述終端設備的操作行為對應的調用棧特征;
利用所述調用棧特征檢測所述應用程序是否加載所述終端設備的非系統動態鏈接庫;
若是,則確定所述操作行為為危險行為;
若否,則確定所述操作行為為安全行為。
2.根據權利要求1所述的方法,其特征在于,所述利用所述調用棧特征檢測所述應用程序是否加載所述終端設備的非系統動態鏈接庫,包括:
檢測所述調用棧特征中的動態鏈接庫對應的加載路徑是否符合預設加載路徑;
若不符合,則確定所述應用程序加載所述終端設備的非系統動態鏈接庫;
若符合,則確定所述應用程序并未加載所述終端設備的非系統動態鏈接庫。
3.根據權利要求2所述的方法,其特征在于,所述確定所述應用程序加載所述終端設備的非系統動態鏈接庫之前,所述方法還包括:
檢測所述調用棧特征中的動態鏈接庫對應的簽名是否符合預設簽名;
若符合,則確定所述應用程序并未加載所述終端設備的非系統動態鏈接庫;
所述確定所述應用程序加載所述終端設備的非系統動態鏈接庫,包括:
若不符合,則確定所述應用程序加載所述終端設備的非系統動態鏈接庫。
4.根據權利要求1-3任一項所述的方法,其特征在于,所述確定所述操作行為為危險行為之前,所述方法還包括:
判斷加載的非系統動態鏈接庫是否為已注冊的非系統動態鏈接庫;
若是,則確定所述操作行為為安全行為;
所述確定所述操作行為為危險行為,包括:
若否,則確定所述操作行為為危險行為。
5.根據權利要求4所述的方法,其特征在于,所述判斷加載的非系統動態鏈接庫是否為已注冊的非系統動態鏈接庫,包括:
判斷加載的非系統動態鏈接庫是否為預設已注冊的非系統動態鏈接庫列表中的非系統動態鏈接庫;
若是,則確定加載的非系統動態鏈接庫為已注冊的非系統動態鏈接庫。
6.根據權利要求1所述的方法,其特征在于,所述確定所述操作行為為危險行為之前,所述方法還包括:
檢測所述調用棧特征中的動態鏈接庫是否與預設調用棧特征庫中的安全動態鏈接庫匹配,所述預設調用棧特征庫為根據樣本安全行為對應的安全調用棧特征構建的,所述安全動態鏈接庫為所述安全調用棧特征中的動態鏈接庫;
所述確定所述操作行為為危險行為,包括:
若否,則確定所述操作行為為危險行為。
7.根據權利要求1所述的方法,其特征在于,所述在終端設備本地捕獲應用程序對所述終端設備的操作行為對應的調用棧特征,包括:
將預設捕獲模塊注入到所述應用程序的進程中,監控所述操作行為;
利用預設掛鉤函數對所述終端設備的系統應用層的功能函數進行掛鉤,以攔截所述操作行為對應的系統調用;
利用預設棧信息回溯函數對所述系統調用進行棧信息回溯,得到所述操作行為對應的調用棧特征。
8.一種終端設備系統防護裝置,其特征在于,包括:
捕獲單元,用于在終端設備本地捕獲應用程序對所述終端設備的操作行為對應的調用棧特征;
檢測單元,用于利用所述調用棧特征檢測所述應用程序是否加載所述終端設備的非系統動態鏈接庫;
確定單元,用于若所述檢測單元檢測所述應用程序加載所述終端設備的非系統動態鏈接庫,則確定所述操作行為為危險行為;
所述確定單元,還用于若所述檢測單元檢測所述應用程序并未加載所述終端設備的非系統動態鏈接庫,則確定所述操作行為為安全行為。
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現權利要求1至7中任一項所述的方法的步驟。
10.一種計算機設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,其特征在于,所述處理器執行所述計算機程序時實現權利要求1至7中任一項所述方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于360企業安全技術(珠海)有限公司;北京奇安信科技有限公司,未經360企業安全技術(珠海)有限公司;北京奇安信科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811640526.0/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:漏洞檢測方法及設備
- 下一篇:基于擬態計算的處理裝置及數據處理方法
