內存安全

從計算機的體系結構出發，任何需要CPU執行的代碼、處理的數據都需要經過內存進行存儲。通過監控CPU指令可以監控內存代碼和數據狀態。通過內存虛擬化等技術來監控內存的讀、寫、執行行為可以有效防禦各種威脅。 ^[2] 

以防火牆為代表的傳統安全防禦體系主要集中在應用層或系統層，依靠端口掃描、黑白名單、簽名和規則等形式在網絡邊界、信任內網區域和智能設備中實現分層防禦。而高級威脅手段可通過文檔內容嵌入等方式躲避傳統檢測，或通過對惡意代碼加密的方式掩蓋或改變其特徵，繞過基於簽名和已知特性進行檢測的安全防禦系統。 ^[4] 

依據馮諾依曼體系結構，任何需要CPU執行的代碼、處理的數據（包括安全威脅）都需要經過CPU進行運算，經過內存進行存儲。這也就是説，無論威脅、攻擊怎麼變換，惡意代碼最終都將出現在內存上，也終將需要依賴CPU去執行。因此可以通過監控CPU指令，監控內存代碼和數據狀態，以及內存虛擬化等技術來監控內存的讀、寫、執行行為，防禦威脅。 ^[3] 

通過監控 CPU 指令、內存訪問可以監控內存代碼和數據狀態以及內存的讀、寫、執行行為，對系統行為做監控，基本可以監控系統所有的 API 調用（只要進內核就會被監控到，不進內核的 API 其實也幹不了什麼事情），還可以監控一些異常的內存數據流動。通過大量行為數據來提高惡意代碼的檢出率，同時規避誤報，解決其他安全產品所面臨的兼容性問題和安全軟件之間的衝突問題。 ^[1] 

內存安全和保護技術作為一項通用技術，可部署在複雜環境中（包含服務器、PC機、VDO環境等），針對終端及服務器端實施整體防護。 ^[3] 

對內存非法讀寫、執行行為進行監控並告警；

通過指令集監控程序指針的運行，對內存破壞型攻擊行為進行日誌或告警；

根據“行為知識庫”對行為數據進行關聯分析，識別威脅；

將內存安全行為日誌和告警信息上傳至管理平台，對內存和CPU的運行情況進行可視化；

對發現的威脅信息或惡意行為進行實時攔截；

通過標準化API以及Syslog方式與其他安全運行平台進行對接。 ^[3]