-
內存安全
鎖定
- 中文名
- 內存安全
- 外文名
- memory security
- 所屬領域
- 計算機
- 防護對象
- 高級威脅
內存安全簡介
從計算機的體系結構出發,任何需要CPU執行的代碼、處理的數據都需要經過內存進行存儲。通過監控CPU指令可以監控內存代碼和數據狀態。通過內存虛擬化等技術來監控內存的讀、寫、執行行為可以有效防禦各種威脅。
[2]
內存安全技術原理
以防火牆為代表的傳統安全防禦體系主要集中在應用層或系統層,依靠端口掃描、黑白名單、簽名和規則等形式在網絡邊界、信任內網區域和智能設備中實現分層防禦。而高級威脅手段可通過文檔內容嵌入等方式躲避傳統檢測,或通過對惡意代碼加密的方式掩蓋或改變其特徵,繞過基於簽名和已知特性進行檢測的安全防禦系統。
[4]
依據馮諾依曼體系結構,任何需要CPU執行的代碼、處理的數據(包括安全威脅)都需要經過CPU進行運算,經過內存進行存儲。這也就是説,無論威脅、攻擊怎麼變換,惡意代碼最終都將出現在內存上,也終將需要依賴CPU去執行。因此可以通過監控CPU指令,監控內存代碼和數據狀態,以及內存虛擬化等技術來監控內存的讀、寫、執行行為,防禦威脅。
[3]
通過監控 CPU 指令、內存訪問可以監控內存代碼和數據狀態以及內存的讀、寫、執行行為,對系統行為做監控,基本可以監控系統所有的 API 調用(只要進內核就會被監控到,不進內核的 API 其實也幹不了什麼事情),還可以監控一些異常的內存數據流動。通過大量行為數據來提高惡意代碼的檢出率,同時規避誤報,解決其他安全產品所面臨的兼容性問題和安全軟件之間的衝突問題。
[1]
內存安全技術應用
內存安全應用場景
- 在PC終端上側重對辦公軟件、瀏覽器、無文件攻擊(含腳本類)等進行重點防禦;
- 服務器端重點對RCE漏洞執行、內存Webshell等關鍵點進行防護。
內存安全功能模塊
內存訪問行為監控
對內存非法讀寫、執行行為進行監控並告警;
CPU指令監控
通過指令集監控程序指針的運行,對內存破壞型攻擊行為進行日誌或告警;
行為分析監控
根據“行為知識庫”對行為數據進行關聯分析,識別威脅;
信息上報
將內存安全行為日誌和告警信息上傳至管理平台,對內存和CPU的運行情況進行可視化;
響應處置
對發現的威脅信息或惡意行為進行實時攔截;
聯動分析
- 參考資料
-
- 1. 國內第一個吃螃蟹的內存安全公司:如何做安全的最後一道防線? .搜狐網[引用日期2020-06-23]
- 2. 專注內存安全,安芯網盾完成數千萬元pre-A輪融資 .鳳凰網[引用日期2020-06-23]
- 3. 朱燕濤,姚紀衞,楊芳.以內存為靶心的高級威脅防護方案[A]. 2021年國家網絡安全宣傳週
- 4. 趙姍.網絡安全主動防禦體系淺析[J].網絡安全技術與應用,2022(04):4-5.
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:6次歷史版本
- 最近更新: 顾4428