买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：奇安信安全技术(珠海)有限公司;奇安信科技集团股份有限公司

摘要：本申请公开了一种内核层shellcode的检测方法、装置、计算机设备及计算机存储介质，涉及信息网络安全技术领域，可以对操作系统内核层的特定内存页进行监控，能够及时检测出异常的操作行为，有效发现内核层shellcode攻击行为的执行。所述方法包括：通过在shellcode执行的攻击行为定位内核层支持函数的路径上选取预设内存页，对所述预设内存页设置指定属性；基于设置的指定属性，对内核模块所在预设内存页的操作行为进行监控；若发生对内核模块所在预设内存页的操作行为，则对内核模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为。

主权项：1.一种内核层shellcode的检测方法，其特征在于，所述方法包括：通过在shellcode执行的攻击行为定位内核层支持函数的路径上选取预设内存页，对所述预设内存页设置指定属性；基于设置的指定属性，对内核模块所在预设内存页的操作行为进行监控，包括：将所述内核模块所在预设内存页设置为缺页状态，以使得所述内核模块所在预设内存页的操作行为会触发缺页中断；通过捕获系统的缺页中断，监控是否发生对内核模块所在预设内存页的操作行为而触发的缺页中断；若是，则确定发生对内核模块所在预设内存页的操作行为；所述shellcode的攻击行为是通过不同的锚点，定位到系统内核空间的某个地址，通过该地址按整页向低地址空间扫描，找到“0x5a4d”可执行文件对应的识别标志，定位到内核基址，再定位到导出表，获取需要的导出表函数；所述对内核模块所在预设内存页的操作行为进行监控具体为对读取“0x5a4d”的操作行为进行监控，所述预设内存页的操作行为是操作系统的内核行为；若发生对内核模块所在预设内存页的操作行为，则对内核模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为，包括：获取内核模块所在预设内存页的操作行为对应的指令地址；基于预先构建的预定行为库将所述内核模块所在预设内存页的操作行为对应的指令地址与预定行为库中的合法行为对应的指令地址进行比对，所述预定行为库中保存有适用于不同内核模块所在预设内存页的合法操作行为对应的指令地址范围；将比对结果一致所对应预设内存页的操作行为判定为合法操作行为；将比对结果不一致所对应预设内存页的操作行为判定为shellcode执行的攻击行为。

全文数据：

权利要求：

百度查询： 奇安信安全技术(珠海)有限公司 奇安信科技集团股份有限公司 内核层shellcode的检测方法及装置