本發(fā)明公開(kāi)了一種用于調(diào)用鏈的安全防護(hù)系統(tǒng)及方法，屬于調(diào)用鏈安全防護(hù)技術(shù)領(lǐng)域。本發(fā)明系統(tǒng)包括：調(diào)用堆棧模塊，所述調(diào)用堆棧模塊獲取調(diào)用鏈，并提取調(diào)用鏈的進(jìn)程信息，并將進(jìn)程信息傳輸至調(diào)用堆棧加密模塊；調(diào)用堆棧加密模塊，所述調(diào)用堆棧加密模塊接收進(jìn)程信息，并對(duì)進(jìn)程信息以預(yù)設(shè)的方式進(jìn)行加密；判斷處理模塊，所述判斷處理模塊，將加密的進(jìn)程信息與加密文件預(yù)存的加密數(shù)據(jù)進(jìn)行對(duì)比，若進(jìn)程數(shù)據(jù)包含進(jìn)程信息，則允許調(diào)用鏈的進(jìn)程加載。本發(fā)明有效的防止了程序的非法調(diào)用進(jìn)程的事件，防止了入侵事件的發(fā)生，保障了程序的安全，具有很高的應(yīng)用價(jià)值。

技術(shù)領(lǐng)域

本發(fā)明涉及調(diào)用鏈安全防護(hù)技術(shù)領(lǐng)域，并且更具體地，涉及一種用于調(diào)用鏈的安全防護(hù)系統(tǒng)及方法。

背景技術(shù)

隨著科學(xué)技術(shù)的不斷進(jìn)步，在C#應(yīng)用程序中，存在許多惡意軟件的惡意調(diào)用，破壞源程序的違法行為，給社會(huì)造成嚴(yán)重影響。

下面介紹三種現(xiàn)有技術(shù)，并說(shuō)明存在的問(wèn)題。

申請(qǐng)?zhí)枮?01310462793.4的專(zhuān)利中，描述了一種入侵檢測(cè)方法及裝置，通過(guò)第一獲取模塊、導(dǎo)出模塊、指紋算法處理模塊、第一比對(duì)模塊和第一確認(rèn)模塊，實(shí)現(xiàn)Linux系統(tǒng)下內(nèi)核入侵檢測(cè)。

申請(qǐng)?zhí)枮?01510809215.2的專(zhuān)利中，提供了一種應(yīng)用程序的防護(hù)方法及裝置，對(duì)DLL文件的加載函數(shù)的調(diào)用進(jìn)行監(jiān)視，若調(diào)用所述加載函數(shù)的進(jìn)程是要防護(hù)的應(yīng)用程序的進(jìn)程，則判斷要加載的DLL文件是否是惡意的DLL文件，從而防止要防護(hù)的應(yīng)用程序進(jìn)程加載惡意DLL文件。

申請(qǐng)?zhí)枮?01410191624.6的專(zhuān)利中，公開(kāi)了一種基于Linux系統(tǒng)的主動(dòng)防御方法及裝置，采用鉤子Hook監(jiān)測(cè)Linux內(nèi)核的系統(tǒng)調(diào)用，若調(diào)用程序在白名單中則允許調(diào)用，否則禁止調(diào)用，此方法可以對(duì)Linux系統(tǒng)運(yùn)行的程序等進(jìn)行有效檢測(cè)，對(duì)于Linux運(yùn)行的惡意程序進(jìn)行攔截。

上述第一種方案?jìng)?cè)重于解決Linux系統(tǒng)內(nèi)核態(tài)的入侵事件，獲取調(diào)用鏈的方法是通過(guò)匯編指令獲取系統(tǒng)調(diào)用入口、通過(guò)系統(tǒng)調(diào)用入口獲取系統(tǒng)調(diào)用鏈表指針，方法復(fù)雜并只能應(yīng)用于Linux系統(tǒng)；而第二種方案是利用鉤子函數(shù)對(duì)動(dòng)態(tài)鏈接庫(kù)的加載函數(shù)的調(diào)用進(jìn)行監(jiān)視，并判斷加載函數(shù)是否存在于預(yù)存的惡意動(dòng)態(tài)鏈接庫(kù)中，從而拒絕加載DLL，此方法采用了黑名單的方式判斷是否加載DLL，所以需要黑名單中的數(shù)據(jù)必須大而廣，需要將惡意DLL全面覆蓋，否則并不能阻止新型惡意DLL的入侵；第三種方案?jìng)?cè)重于解決Linux系統(tǒng)的入侵事件，與方案二類(lèi)似，但是采用了白名單的方式判斷是否被調(diào)用，但他需要每個(gè)被調(diào)用的系統(tǒng)設(shè)置Hook；以上三種方案都實(shí)現(xiàn)了惡意入侵\調(diào)用的防御，但都存在著相應(yīng)的弊端。

所以，針對(duì)上述現(xiàn)有技術(shù)存在的缺陷，有必要進(jìn)行相應(yīng)的研究，針對(duì)Windows下C#應(yīng)用程序提供一種調(diào)用鏈檢測(cè)的安全防護(hù)技術(shù)。

發(fā)明內(nèi)容

針對(duì)上述問(wèn)題，本發(fā)明提出了一種用于調(diào)用鏈的安全防護(hù)系統(tǒng)，包括：

調(diào)用堆棧模塊，所述調(diào)用堆棧模塊獲取調(diào)用鏈，并提取調(diào)用鏈的進(jìn)程信息，并將進(jìn)程信息傳輸至調(diào)用堆棧加密模塊；

調(diào)用堆棧加密模塊，所述調(diào)用堆棧加密模塊接收進(jìn)程信息，并對(duì)進(jìn)程信息以預(yù)設(shè)的方式進(jìn)行加密；

判斷處理模塊，所述判斷處理模塊，將加密的進(jìn)程信息與加密文件預(yù)存的加密數(shù)據(jù)進(jìn)行對(duì)比，若進(jìn)程數(shù)據(jù)包含進(jìn)程信息，則允許調(diào)用鏈的進(jìn)程加載。

可選的，判斷處理模塊還用于在將加密的進(jìn)程信息與加密文件預(yù)存的加密數(shù)據(jù)進(jìn)行對(duì)比時(shí)，確定當(dāng)進(jìn)程數(shù)據(jù)不包含進(jìn)程信息時(shí)，禁止對(duì)調(diào)用鏈的進(jìn)程加載，并發(fā)出告警。

可選的，調(diào)用堆棧加密模塊還用于預(yù)存加密文件。

可選的，加密文件使用非對(duì)稱(chēng)加密算法對(duì)文件進(jìn)行加密，文件中保存加載調(diào)用鏈的進(jìn)程信息，以及進(jìn)程信息以預(yù)設(shè)的方式進(jìn)行加密的加密信息；

進(jìn)程信息包括：調(diào)用鏈進(jìn)程的進(jìn)程名稱(chēng)和進(jìn)程對(duì)應(yīng)程序文件的md5值。