| 发明名称 | 一种基于栈异常的shellcode检测方法及装置 | ||
| 摘要 | 本发明涉及计算机领域,尤其涉及一种基于栈异常的shellcode检测方法及装置。该方法为,基于指定的每一个API函数分别生成相应的栈帧链,并分别依次检测每一个栈帧链中的每一个栈帧,筛选出所有异常的栈帧,其中,在检测一个栈帧时,包括:检测所述一个栈帧的元素指标是否符合预设条件,在确定不符合预设条件时,判定所述一个栈帧异常;其中,所述元素指标包括栈帧长度、栈帧EBP地址和栈帧返回地址中的一项或任意组合。这样,只针对指定的API函数对应的栈帧链进行检测,避免对所有函数进行盲目的检测,减小了系统性能开销;而且,直接根据栈帧的元素指标,筛选出异常栈帧,提高系统检测性能,减小误报率。 | ||
| 申请公布号 | CN105678168A | 申请公布日期 | 2016.06.15 |
| 申请号 | CN201511020089.9 | 申请日期 | 2015.12.29 |
| 申请人 | 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 | 发明人 | 孙建坡 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京同达信恒知识产权代理有限公司 11291 | 代理人 | 黄志华 |
| 主权项 | 一种基于栈异常的shellcode检测方法,其特征在于,基于指定的每一个应用编程接口API函数分别生成相应的栈帧链,并分别依次检测每一个栈帧链中的每一个栈帧,筛选出所有异常的栈帧,其中,在检测一个栈帧时,包括:检测所述一个栈帧的元素指标是否符合预设条件,在确定不符合预设条件时,判定所述一个栈帧异常;其中,所述元素指标包括栈帧长度、栈帧扩展基址指针寄存器EBP地址和栈帧返回地址中的一项或任意组合。 | ||
| 地址 | 100089 北京市海淀区北洼路4号益泰大厦三层 | ||