什么是内存安全介绍

内存安全由内存监控、程序行为监控、智能分析、系统安全增强和安全响应等构成，可阻止异常内存访问和恶意代码执行等攻击行为，为计算机系统构建一个完整的内存安全环境。

内存安全简介

从计算机的体系结构出发，任何需要CPU执行的代码、处理的数据都需要经过内存进行存储。通过监控CPU指令可以监控内存代码和数据状态。通过内存虚拟化等技术来监控内存的读、写、执行行为可以有效防御各种威胁。

内存安全技术原理

以防火墙为代表的传统安全防御体系主要集中在应用层或系统层，依靠端口扫描、黑白名单、签名和规则等形式在网络边界、信任内网区域和智能设备中实现分层防御。而高级威胁手段可通过文档内容嵌入等方式躲避传统检测，或通过对恶意代码加密的方式掩盖或改变其特征，绕过基于签名和已知特性进行检测的安全防御系统。

依据冯诺依曼体系结构，任何需要CPU执行的代码、处理的数据（包括安全威胁）都需要经过CPU进行运算，经过内存进行存储。这也就是说，无论威胁、攻击怎么变换，恶意代码最终都将出现在内存上，也终将需要依赖CPU去执行。因此可以通过监控CPU指令，监控内存代码和数据状态，以及内存虚拟化等技术来监控内存的读、写、执行行为，防御威胁。

通过监控 CPU 指令、内存访问可以监控内存代码和数据状态以及内存的读、写、执行行为，对系统行为做监控，基本可以监控系统所有的 API 调用（只要进内核就会被监控到，不进内核的 API 其实也干不了什么事情），还可以监控一些异常的内存数据流动。通过大量行为数据来提高恶意代码的检出率，同时规避误报，解决其他安全产品所面临的兼容性问题和安全软件之间的冲突问题。

内存安全技术应用

内存安全应用场景

内存安全和保护技术作为一项通用技术，可部署在复杂环境中（包含服务器、PC机、VDO环境等），针对终端及服务器端实施整体防护。

在PC终端上侧重对办公软件、浏览器、无文件攻击（含脚本类）等进行重点防御；

服务器端重点对RCE漏洞执行、内存Webshell等关键点进行防护。

内存安全功能模块

内存访问行为监控

对内存非法读写、执行行为进行监控并告警；

CPU指令监控

通过指令集监控程序指针的运行，对内存破坏型攻击行为进行日志或告警；

行为分析监控

根据“行为知识库”对行为数据进行关联分析，识别威胁；

信息上报

将内存安全行为日志和告警信息上传至管理平台，对内存和CPU的运行情况进行可视化；

响应处置

对发现的威胁信息或恶意行为进行实时拦截；

联动分析

通过标准化API以及Syslog方式与其他安全运行平台进行对接。