[发明专利]应用层shellcode的检测方法及装置

权利要求书

1.一种应用层shellcode的检测方法，其特征在于，所述方法包括:

通过在shellcode执行攻击行为定位应用层动态链接库的路径上选取预设内存页，将所述预设内存页设置为指定属性，其中，所述预设内存页为应用层shellcode在执行攻击时会利用的内存页；

基于设置的指定属性，对应用模块所在预设内存页的操作行为进行监控，包括：

通过将应用层关键动态链接库所在的预设内存页设置为保护属性标志，以使得所述应用模块所在预设内存页的操作行为会触发异常；

捕获对所述应用层关键动态链接库所在的内存页的操作行为，监控是否发生对应用模块所在预设内存页的操作行为而触发的异常；

若是，则确定发生应用模块所在预设内存页的操作行为；

若发生对应用模块所在预设内存页的操作行为，则对应用模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为，其中，所述对应用模块所在预设内存页的操作行为进行合法性判定，以检测shellcode执行的攻击行为，包括:

将对应用模块所在预设内存页的操作行为与预定行为库中的正常操作行为进行比对，所述预定行为库中保存有适用于不同应用模块所在预设内存页的正常操作行为；

将比对结果一致的应用模块所在预设内存页的操作行为判定为正常操作行为；

将比对结果不一致的应用模块所在预设内存页的操作行为判定为发生shellcode执行的攻击行为。

2.根据权利要求1所述的方法，其特征在于，所述捕获对所述应用层关键动态链接库所在的内存页的操作行为，监控是否发生对应用模块所在预设内存页的操作行为而触发的异常，包括:

利用乒乓监控机制处理捕获的对所述应用层关键动态链接库所在的内存页的操作行为，监控是否发生对应用模块所在预设内存页的操作行为而触发的异常。

3.根据权利要求2所述的方法，其特征在于，所述利用乒乓监控机制处理捕获的对所述应用层关键动态链接库所在的内存页的操作行为，监控是否发生对应用模块所在预设内存页的操作行为而触发的异常，包括:

利用乒乓监控机制将应用层关键动态链接库的PE头所在的内存设置为乒页；

利用乒乓监控机制将应用层关键动态链接库的导出表所在的内存页设置为乓页；

监控关键动态链接库中是否发生对应用模块所在乓页的操作行为而触发的异常。

4.根据权利要求3所述的方法，其特征在于，所述若是，则确定发生应用模块所在预设内存页的操作行为，包括:

若关键动态链接库中发生对应用模块所在乓页的操作行为而触发的异常，则确定发生对应用模块所在预设内存页的操作行为。

5.根据权利要求1所述的方法，其特征在于，在所述将比对结果不一致的应用模块所在预设内存页的操作行为判定为发生shellcode执行的攻击行为之后，所述方法还包括:

对所述shellcode执行的攻击行为进行防护与拦截处理。