> 教育经验 > 什么是内存安全介绍

什么是内存安全介绍

什么是内存安全介绍

内存安全由内存监控、程序行为监控、智能分析、系统安全增强和安全响应等构成,可阻止异常内存访问和恶意代码执行等攻击行为,为计算机系统构建一个完整的内存安全环境。

内存安全简介

从计算机的体系结构出发,任何需要CPU执行的代码、处理的数据都需要经过内存进行存储。通过监控CPU指令可以监控内存代码和数据状态。通过内存虚拟化等技术来监控内存的读、写、执行行为可以有效防御各种威胁。

内存安全技术原理

以防火墙为代表的传统安全防御体系主要集中在应用层或系统层,依靠端口扫描、黑白名单、签名和规则等形式在网络边界、信任内网区域和智能设备中实现分层防御。而高级威胁手段可通过文档内容嵌入等方式躲避传统检测,或通过对恶意代码加密的方式掩盖或改变其特征,绕过基于签名和已知特性进行检测的安全防御系统。

依据冯诺依曼体系结构,任何需要CPU执行的代码、处理的数据(包括安全威胁)都需要经过CPU进行运算,经过内存进行存储。这也就是说,无论威胁、攻击怎么变换,恶意代码最终都将出现在内存上,也终将需要依赖CPU去执行。因此可以通过监控CPU指令,监控内存代码和数据状态,以及内存虚拟化等技术来监控内存的读、写、执行行为,防御威胁。

通过监控 CPU 指令、内存访问可以监控内存代码和数据状态以及内存的读、写、执行行为,对系统行为做监控,基本可以监控系统所有的 API 调用(只要进内核就会被监控到,不进内核的 API 其实也干不了什么事情),还可以监控一些异常的内存数据流动。通过大量行为数据来提高恶意代码的检出率,同时规避误报,解决其他安全产品所面临的兼容性问题和安全软件之间的冲突问题。

内存安全技术应用

内存安全应用场景

内存安全和保护技术作为一项通用技术,可部署在复杂环境中(包含服务器、PC机、VDO环境等),针对终端及服务器端实施整体防护。

在PC终端上侧重对办公软件、浏览器、无文件攻击(含脚本类)等进行重点防御;

服务器端重点对RCE漏洞执行、内存Webshell等关键点进行防护。

内存安全功能模块

内存访问行为监控

对内存非法读写、执行行为进行监控并告警;

CPU指令监控

通过指令集监控程序指针的运行,对内存破坏型攻击行为进行日志或告警;

行为分析监控

根据“行为知识库”对行为数据进行关联分析,识别威胁;

信息上报

将内存安全行为日志和告警信息上传至管理平台,对内存和CPU的运行情况进行可视化;

响应处置

对发现的威胁信息或恶意行为进行实时拦截;

联动分析

通过标准化API以及Syslog方式与其他安全运行平台进行对接。