| 发明名称 | 一种喷射模式攻击的检测方法和装置 | ||
| 摘要 | 本发明实施例涉及计算机安全技术领域,尤其涉及一种喷射模式攻击的检测方法和装置,用以解决仅通过检测恶意攻击指令shellcode是否可执行来判断是否存在喷射模式攻击的方法会出现检测失效的问题。本发明实施例的方法包括:对敏感函数的调用情况进行检测;若敏感函数的调用异常且产生异常内存块的累计次数不小于第一阈值,则对敏感函数调用过程中产生的异常内存块进行时间戳检测,依据时间戳检测的结果生成第一分数;若第一分数不小于第二阈值,则确定应用程序存在喷射模式的攻击。由于通过对异常内存块的时间戳进行检测即可判断出是否存在喷射模式的攻击,从而减少了检测失效的情况的发生。 | ||
| 申请公布号 | CN103984898B | 申请公布日期 | 2017.02.01 |
| 申请号 | CN201410236293.3 | 申请日期 | 2014.05.29 |
| 申请人 | 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 | 发明人 | 郝力男 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京同达信恒知识产权代理有限公司 11291 | 代理人 | 朱佳 |
| 主权项 | 一种喷射模式攻击的检测方法,其特征在于,包括以下步骤:以仿真方式执行应用程序,并在所述应用程序执行过程中执行以下操作:对敏感函数的调用情况进行检测,所述敏感函数是用于管理内存的函数;当检测到所述敏感函数调用异常且产生异常内存块时,确定所述敏感函数调用异常且产生异常内存块的累计次数;若所述敏感函数的调用异常且产生异常内存块的累计次数不小于第一阈值,则对所述敏感函数调用过程中产生的异常内存块进行时间戳检测,依据所述时间戳检测的结果生成第一分数;若所述第一分数不小于第二阈值,则确定所述应用程序存在喷射模式的攻击。 | ||
| 地址 | 100089 北京市海淀区北洼路4号益泰大厦三层 | ||