[发明专利]工业组态监控软件执行过程动态保护方法

摘要

本发明公开了工业组态监控软件执行过程动态保护方法，属于工业控制领域和信息技术领域。第一、对于程序固有空间采用动态完整性度量方法进行度量，以保证程序完整性并在不被破坏的条件下运行，一旦发现程序完整性被破坏就发出报警，必要时结束程序进程；第二、对于非固有内存空间在内存分配环节进行阻止，防止远程代码注入；通过这两个环节，进程运行空间环境都有了监测和保护机制，保证进程在正确的状态下运行。

主权项

工业组态监控软件执行过程动态保护方法，第一、对于程序固有空间采用动态完整性度量方法进行度量，以保证程序完整性并在不被破坏的条件下运行，一旦发现程序完整性被破坏就发出报警，必要时结束程序进程；第二、对于非固有内存空间在内存分配环节进行阻止，防止远程代码注入；通过这两个环节，进程运行空间环境都有了监测和保护机制，保证进程在正确的状态下运行；其特征在于：本方法的实施步骤如下，第一步、消除所有已知的基于内存的安全漏洞，确保被攻击面尽可能小；第二步、确保操作系统的本地保护功能事实上是启用，使成功的基于内存的开发不可能；本地保护功能为DEP和ASLR；DEP是Data Execution Prevention的缩写，是一种基于软硬件技术的内存防护方法，能够在内存上执行额外检查以帮助防止在系统上运行恶意代码；ALSR是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射线性区布局的随机化，以及通过增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的；ALSR能够有效降低缓冲区溢出攻击的成功率；第三步、使用进程内存动态检测技术和增强的内存保护技术来识别和阻止企图进行内存注入的侵害：在进程执行的关键节点进行进程内存的动态监测，及时预警、阻止危害行为的发生；3.1在进程执行的关键节点进行进程内存空间检测，检测进程的内存hash值有无被修改；3.1.1关键节点是指进程进行的可捕捉而又很重要的操作，这些重要的操作为修改注册表、非法查看配置文件、日志、关键业务文件；文件的查看拦截使用已有的节点安全软件DTE功能即达到控制目的；在禁止的同时要触发进程内存检测；注册表修改拦截使用window API拦截技术，这个在节点安全软件上也有详细使用，需要拦截的api是RegSetValueEx；将需要拦截的注册项存储起来；待这些API函数被使用时触发检测消息传送给检测服务函数；DTE是指增强的domain‑type访问控制安全模型；DTE根据主体所在域权限实现对型所属客体进行访问，首先文件打开进入Open hook(process+user：file)，Open hook(process+user：file)对应权限属性Domain‑Type：RWE，Domain/域主题(进程+用户)集合以及Type/型客体(文件)集合；3.1.2进程内存空间检测：每个进程的内存hash在数据库中进行记录，检测时要对比数据库中的hash值是否有变动；每个进程都包含一系列的模块，包括程序本身和一系列DLL；其枚举过程如下：*使用函数OpenProcess打开进程；*使用Module32First/Module32Next遍历进程，每个调用获取到MODULEENTRY32数据结构，其成员modBaseAddr/modBaseSize标识模块在内存中的位置和大小，用于计算其HASH值；szModule/szExePath用于标识模块的名称和路径；对比库中已有HASH值，如果不匹配则代表进程内存已经被改变，根据已有策略阻止进程运行或者发出预警；3.2拦截WINDOWS API函数VirtualAllocEx病毒进行远程代码注入时要调用VirtualAllocEx函数来为自己注入代码分配空间，这些被分配的代码是为新的线程和参数来分配的；如果能够识别/拦截病毒分配内存的行为，那么代码自然无法注入到新的线程里；如果病毒选择注入到进程固有空间，那么步骤3.1的进程空间动态度量技术发出预警甚至关闭受害程序；当VirtualAllocEx函数第五个参数是PAGE_EXECUTE_READWRITE时进行拦截，首先检测此进程是否在步骤3.1中允许动态修改代码的权限表中；如果不在直接拒绝；如果在则检测第二个函数参数地址是不是在进程固有空间中，如果第二个函数参数地址在进程固有空间在则允许，如果第二个函数参数地址不在进程固有空间则禁止；地址是否在固有空间参考步骤3.2.2来进行计算；4、拒绝任何通过验证的白名单程序来安装程序的企图；即使通过白名单验证的程序也不能安装新软件，安装了新软件也无法运行。