[发明专利]一种软件堆栈区域非法篡改监控系统及方法

说明书

本发明涉及一种软件堆栈区域非法篡改监控系统，包括：用于监控软件异常行为的堆栈保护区装置，所述堆栈保护区装置通过数据总线与数据总线访问地址更新装置连接，所述数据总线访问地址更新装置与数据访问地址循环装置连接，所述数据访问地址循环装置通过数据总线与输出映射装置连接；所述数据总线访问地址更新装置用于根据地址步长和前一次访问地址记录，得到当前目标访问地址。本发明还涉及一种软件堆栈区域非法篡改监控方法，本发明可以在软件本身已无法正常工作时仍然保持监控功能，使软件全生命周期中的堆栈行为都处于监控之下，使堆栈监控具备独立性和客观性。

技术领域

本发明涉及安全系统监控技术领域，特别是涉及一种软件堆栈区域非法篡改监控系统及方法。

背景技术

软件运行时需要使用堆栈用于保存函数调用前和调用后的现场数据，如局部变量数据、函数返回地址等，有些单片机嵌入式软件还需要保存计算单元寄存器数据，用于在硬件中断发生时保存计算单元的数据，并在中断服务函数结束时将这些数据读回计算单元，继续运行被中断暂停的计算任务。与软件设计的复杂度相关，软件运行过程中在不同的时刻实际使用的堆栈空间的是不固定的。但一般都能够根据软件设计推理出一个理论空间需求，为了确保堆栈空间肯定够用，往往在理论空间需求的基础上再额外增加一个空间，这个空间叫做堆栈保护区。

常用的堆栈保护区检查机制是通过软件读取的方式进行循环检查，通过在软件中设置专用的读取和判断机制，将堆栈保护区的数据从随机存储器中读出，然后判断堆栈保护区的数值是否被修改过，依据判断的结果，得到软件是否有异常的结果。

传统技术实现成本较低，有一定的有效性，但是无法识别所有的工况，尤其是当堆栈区溢出已经对软件产生严重影响，使软件完全无法正常运行的工况，此时无法依赖软件本身检测堆栈区的问题。

发明内容

本发明所要解决的技术问题是提供一种软件堆栈区域非法篡改监控系统及方法，当软件检测不可信时，通过硬件系统来解决监控堆栈区域被非法篡改的问题。

本发明解决其技术问题所采用的技术方案是：提供一种软件堆栈区域非法篡改监控系统，包括：用于监控软件异常行为的堆栈保护区装置，所述堆栈保护区装置通过数据总线与数据总线访问地址更新装置连接，所述数据总线访问地址更新装置与数据访问地址循环装置连接，所述数据访问地址循环装置通过数据总线与输出映射装置连接；

所述数据总线访问地址更新装置用于根据地址步长和前一次访问地址记录，得到当前目标访问地址；

所述数据访问地址循环装置根据所述当前目标访问地址、堆栈保护区开始地址AddrS和堆栈保护区结束地址AddrE，得到最终目标访问地址；

所述堆栈保护区装置将所述最终目标访问地址在堆栈保护区开始地址AddrS与堆栈保护区结束地址AddrE之间来回循环；

所述输出映射装置用于将数据总线读出的值通过输出映射器映射至电平中。

所述数据总线访问地址更新装置根据所述地址步长和前一次访问地址记录，通过地址加法器得到当前目标访问地址，并将所述当前目标访问地址保存在目标地址存储器中。

所述数据访问地址循环装置通过地址比较器将所述当前目标访问地址和堆栈保护区结束地址AddrE进行比较，若所述当前目标访问地址大于堆栈保护区结束地址AddrE，则通知地址选择器选择堆栈保护区开始地址AddrS存入访问地址存储器；若所述当前目标访问地址小于等于堆栈保护区结束地址AddrE，则所述地址选择器将所述当前目标访问地址存入访问地址存储器。

所述输出映射装置与并联正向二极管电路装置连接，所述并联正向二极管电路装置用于将每个电平对应的硬件电平信号通过二极管阵列输出至保护信号。

所述电平的数目为8的倍数。

本发明解决其技术问题所采用的技术方案是：提供一种软件堆栈区域非法篡改监控方法，包括：