买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：奇安信安全技术(珠海)有限公司;奇安信科技集团股份有限公司

摘要：本申请公开了一种应用层shellcode的检测方法、装置、计算机设备及计算机存储介质，涉及信息网络安全技术领域，可以对操作系统应用层的特定内存页进行监控，能够及时检测出异常的操作行为，有效发现应用层shellcode攻击行为。所述方法包括：通过在shellcode执行攻击行为定位应用层关键动态链接库的路径上选取预设内存页，将所述预设内存页设置为指定属性；基于设置的指定属性，对应用模块所在预设内存页的操作行为进行监控；若发生对应用模块所在预设内存页的访问企图，则对访问行为进行合法性判定，以检测shellcode执行的攻击行为。

主权项：1.一种应用层shellcode的检测方法，其特征在于，所述方法包括:通过在shellcode执行攻击行为定位应用层动态链接库的路径上选取预设内存页，将所述预设内存页设置为指定属性，其中，所述预设内存页为应用层shellcode在执行攻击时会利用的内存页；基于设置的指定属性，对应用模块所在预设内存页的操作行为进行监控，包括：通过将应用层关键动态链接库所在的预设内存页设置为保护属性标志，以使得所述应用模块所在预设内存页的操作行为会触发异常；捕获对所述应用层关键动态链接库所在的内存页的操作行为，监控是否发生对应用模块所在预设内存页的操作行为而触发的异常；若是，则确定发生应用模块所在预设内存页的操作行为；若发生对应用模块所在预设内存页的操作行为，则对应用模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为，其中，所述对应用模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为，包括:将对应用模块所在预设内存页的操作行为与预定行为库中的正常操作行为进行比对，所述预定行为库中保存有适用于不同应用模块所在预设内存页的正常操作行为；将比对结果一致的应用模块所在预设内存页的操作行为判定为正常操作行为；将比对结果不一致的应用模块所在预设内存页的操作行为判定为发生shellcode执行的攻击行为。

全文数据：

权利要求：

百度查询： 奇安信安全技术(珠海)有限公司 奇安信科技集团股份有限公司 应用层shellcode的检测方法及装置