[发明专利]指令安全处理方法及装置

说明书

本发明公开了一种指令安全处理方法及装置；方法包括：获取存储指令；检测所述存储指令的目标地址是否为外部的安全存储设备上的地址；根据所述检测的结果对所述存储指令进行处理。本发明通过对存储地址的检测，保证存储指令的目标地址始终位于外部的安全存储设备上，避免由于绕过了本设备的安全逻辑导致指令直接到硬件层执行导致的失泄密问题，提高了计算设备的数据安全。

技术领域

本发明属于计算机安全领域，尤其涉及一种指令安全处理方法及装置。

背景技术

随着计算机与网络技术的快速发展，一方面使人们日常生活工作更加便利，但另一方面也使人们的个人数据、企业数据、乃至涉密数据面临着更为严重的泄密风险，尤其是政府机要、军队、工业、金融、医疗等重点领域。

为了保证数据安全，现在技术中一般采用通过在操作系统底层加入判断逻辑，对指令的处理进行各方面的识别与预判处理，最终判定该指令是继续执行还是中止执行；但现在存在一种攻击方式，是通过跳过安全逻辑直接使应攻击所产生指令达到底层执行，使得部署配置的安全逻辑失效。

发明内容

有鉴于此，本发明的一个目的是提出一种指令安全处理方法，以解决现有技术中通过绕过攻击导致安全策略失效，致使数据安全性降低的问题。

在一些说明性实施例中，所述指令安全处理方法，包括：获取存储指令；检测所述存储指令的目标地址是否为外部的安全存储设备上的地址；根据所述检测的结果对所述存储指令进行处理。

优选地，所述根据检测的结果对所述存储指令进行处理，具体包括：若检测出所述存储指令的目标地址非所述安全存储设备上的地址，则禁止或暂时中止所述存储指令的执行；若检测出所述存储指令的目标地址为所述安全存储设备上的地址，则允许所述存储指令继续执行。

优选地，所述检测存储指令的目标地址是否为外部的安全存储设备上的地址，具体包括：检测存储指令是否经过以下运行逻辑的操作：将指向本地硬盘的存储指令的目标地址修改为所述安全存储设备上的地址。

优选地，所述根据所述检测的结果对所述存储指令进行处理，具体包括：若检测出所述存储指令未经过所述运行逻辑的操作，则禁止或暂时中止所述存储指令的执行；若检测出所述存储指令经过所述运行逻辑的操作，则允许所述存储指令继续执行。

优选地，所述检测存储指令是否执行以下运行逻辑操作的过程，包括：根据所述存储指令所关联的设备栈信息判断所述存储指令是否经过执行所述运行逻辑的操作的控制逻辑单元。

优选地，所述根据检测的结果对所述存储指令进行处理，具体包括：若检测出所述存储指令未经过所述控制逻辑单元，则禁止或暂时中止所述存储指令的执行；若检测出所述存储指令经过所述控制逻辑单元，则允许所述存储指令继续执行。

优选地，在判断所述存储指令是否经过所述控制逻辑单元之前，还包括：对所述操作指令进行溯源，调取与其相关联的设备栈信息。

优选地，所述允许所述存储指令继续执行的过程中，至少包括：将所述存储指令转换为硬件指令，并将其发送至硬件层执行。

本发明的另一个目的在于提出一种指令安全处理装置。

在一些说明性实施例中，所述指令安全处理装置，包括：拦截模块，用于获取存储指令；检测模块，用于检测所述存储指令的目标地址是否为外部的安全存储设备上的地址；执行模块，用于根据所述检测的结果对所述存储指令进行处理。

优选地，所述执行模块，包括：第一执行子模块，用于检测出所述存储指令的目标地址非所述安全存储设备上的地址时，禁止或暂时中止所述存储指令的执行；第二执行子模块，用于检测出所述存储指令的目标地址为所述安全存储设备上的地址时，允许所述存储指令继续执行。

与现有技术相比，本发明具有以下优点：