[发明专利]一种实时度量方法及装置

权利要求书

1.一种实时度量方法，其特征在于，包括：

实时监控被监控区域上的操作；所述被监控区域为敏感信息对应的存储地址，所述敏感信息为预先定义的需要进行度量的信息；

当监控到所述被监控区域上针对被监控区域发起的敏感操作，判断所述敏感操作是否合法；

若判断结果为所述敏感操作为合法，允许所述敏感操作继续执行；

若判断结果为所述敏感操作为非法，阻止所述敏感操作继续执行。

2.如权利要求1所述的实时度量方法，其特征在于，在实时监控被监控区域上的操作之前还包括：确定敏感信息，并判断所述敏感信息是否已在系统中被创建，若是，则读取所述敏感信息对应的存储地址，并将所述存储地址设置为被监控区域。

3.如权利要求1所述的实时度量方法，其特征在于，判断所述敏感操作是否合法包括：通过判断所述敏感操作或执行所述敏感操作的主体是否满足对应的度量规则来判断所述敏感操作是否合法，若满足，则所述敏感操作是合法的；若不满足，则所述敏感操作是非法的。

4.如权利要求3所述的实时度量方法，其特征在于，所述敏感信息包括栈、堆、进程和内核关键数据；

当所述敏感信息为栈时，所述度量规则包括：当前操作地址属于所述栈的有效范围、访问所述栈的主体为所述栈的所有者、所述栈符合应用程序二进制接口规范约定；

当所述敏感信息为堆时，所述度量规则包括：当前操作的地址不属于空闲堆空间范围、当前操作区间不得跨越不同的堆空间对象、当前操作线程为合法线程；

当所述敏感信息为进程时，所述度量规则包括：当前进程对应的代码段可被操作、当前进程的栈区间可执行；

当所述敏感信息为内核关键数据时，所述度量规则包括：关键数据的访问线程属于合法线程、执行操作的程序的地址属于合法可信的代码区间。

5.如权利要求1所述的实时度量方法，其特征在于，当所述敏感操作为非法时，通知用户。

6.如权利要求1所述的实时度量方法，其特征在于，在监控到所述被监控区域上针对被监控区域发起的敏感操作之后，判断所述敏感操作是否合法之前还包括：产生异常，使所述敏感操作过程被中断。

7.如权利要求1所述的实时度量方法，其特征在于，当所述敏感操作为非法的，若所敏感述操作处于内核态，则调用系统异常接口触发系统异常；若所述敏感操作处于用户态，则系统不再为所述操作的执行分配资源。

8.如权利要求1-7任意一项所述的实时度量方法，其特征在于，实时监控被监控区域上的操作包括：通过内存管理单元实时监控对内存的操作，并判断所述操作是否是针对被监控区域发起的敏感操作。

9.一种实施度量装置，其特征在于，包括：

监控模块：用于实时监控被监控区域上的操作，所述被监控区域为敏感信息对应的存储地址，所述敏感信息为预先定义的需要进行度量的信息；

判断模块：用于当监控到所述被监控区上针对被监控区域发起的敏感操作，判断所述敏感操作是否合法；

第一执行模块：用于当判断结果为所述敏感操作为合法，允许所述敏感操作继续执行；

第二执行模块：用于判断结果为所述敏感操作为非法，阻止所述敏感操作

继续执行。

10.如权利要求9所述的实时度量装置，其特征在于，还包括设置模块，用于在实时监控被监控区域上的操作之前，确定敏感信息，并判断所述敏感信息是否已在系统中被创建，若是，则读取所述敏感信息对应的存储地址，并将所述存储地址设置为被监控区域。

11.如权利要求9所述的实时度量装置，其特征在于，还包括通知模块，用于当所述敏感操作为非法时，通知用户。

12.如权利要求9所述的实时度量装置，其特征在于，还包括异常产生 模块，用于在监控到所述被监控区域上针对被监控区域发起的敏感操作之后，判断所述敏感操作是否合法之前产生异常，使所述敏感操作过程被中断。

13.如权利要求9-12任意一项所述的实时度量装置，其特征在于，所述监控模块包括内存管理单元，内存管理单元实时监控对内存的操作，并判断所述操作是否是针对被监控区域发起的敏感操作。