記憶體安全由記憶體監控、程式行為監控、智慧型分析、系統安全增強和安全回響等構成,可阻止異常記憶體訪問和惡意代碼執行等攻擊行為,為計算機系統構建一個完整的記憶體安全環境。
基本介紹
- 中文名:記憶體安全
- 外文名:memory security
- 所屬領域:計算機
- 防護對象:高級威脅
簡介,技術原理,技術套用,套用場景,功能模組,
簡介
從計算機的體系結構出發,任何需要CPU執行的代碼、處理的數據都需要經過記憶體進行存儲。通過監控CPU指令可以監控記憶體代碼和數據狀態。通過記憶體虛擬化等技術來監控記憶體的讀、寫、執行行為可以有效防禦各種威脅。
技術原理
以防火牆為代表的傳統安全防禦體系主要集中在套用層或系統層,依靠連線埠掃描、黑白名單、簽名和規則等形式在網路邊界、信任區域網路區域和智慧型設備中實現分層防禦。而高級威脅手段可通過文檔內容嵌入等方式躲避傳統檢測,或通過對惡意代碼加密的方式掩蓋或改變其特徵,繞過基於簽名和已知特性進行檢測的安全防禦系統。
依據馮諾依曼體系結構,任何需要CPU執行的代碼、處理的數據(包括安全威脅)都需要經過CPU進行運算,經過記憶體進行存儲。這也就是說,無論威脅、攻擊怎么變換,惡意代碼最終都將出現在記憶體上,也終將需要依賴CPU去執行。因此可以通過監控CPU指令,監控記憶體代碼和數據狀態,以及記憶體虛擬化等技術來監控記憶體的讀、寫、執行行為,防禦威脅。
通過監控 CPU 指令、記憶體訪問可以監控記憶體代碼和數據狀態以及記憶體的讀、寫、執行行為,對系統行為做監控,基本可以監控系統所有的 API 調用(只要進核心就會被監控到,不進核心的 API 其實也幹不了什麼事情),還可以監控一些異常的記憶體數據流動。通過大量行為數據來提高惡意代碼的檢出率,同時規避誤報,解決其他安全產品所面臨的兼容性問題和安全軟體之間的衝突問題。
技術套用
套用場景
記憶體安全和保護技術作為一項通用技術,可部署在複雜環境中(包含伺服器、PC機、VDO環境等),針對終端及伺服器端實施整體防護。
- 在PC終端上側重對辦公軟體、瀏覽器、無檔案攻擊(含腳本類)等進行重點防禦;
- 伺服器端重點對RCE漏洞執行、記憶體Webshell等關鍵點進行防護。
功能模組
記憶體訪問行為監控
對記憶體非法讀寫、執行行為進行監控並告警;
CPU指令監控
通過指令集監控程式指針的運行,對記憶體破壞型攻擊行為進行日誌或告警;
行為分析監控
根據“行為知識庫”對行為數據進行關聯分析,識別威脅;
信息上報
將記憶體安全行為日誌和告警信息上傳至管理平台,對記憶體和CPU的運行情況進行可視化;
回響處置
對發現的威脅信息或惡意行為進行實時攔截;
聯動分析
通過標準化API以及Syslog方式與其他安全運行平台進行對接。