[发明专利]非侵入式系统安全保护方法以及安全保护装置

说明书

本发明公开了一种非侵入式系统安全保护方法以及安全保护装置，所述方法包括：确定关键API集，所述关键API集包括多个关键API；判断是否获取到针对至少一个关键API的调用操作；在确定获取到所述调用操作的情况下，将所述调用操作对应的关键API调用指令重加载至预设虚拟环境；生成动态拦截指令；基于所述动态拦截指令对所述关键API调用指令进行修改，获得修改后指令；在所述预设虚拟环境中运行所述修改后指令。通过根据恶意程序对关键API的调用规律准确识别恶意程序，并通过预设虚拟环境对恶意程序进行非侵入式的动态修改，从而在不侵入原程序的运行的基础上，实现对应用系统的安全保护。

技术领域

本发明涉及安全保护技术领域，具体地涉及一种非侵入式系统安全保护方法、一种非侵入式系统安全保护装置、一种处理器、一种机器可读存储介质以及一种计算机程序产品。

背景技术

随着网络技术的不断发展，网络安全成为日益严重的问题，网络安全风险对应用系统的防护能力提出了更高的要求和更严重的挑战。

现有的应用系统防护方法主要分为内部防护方法和外部防护方法两大类，针对内部防护方法，开发人员在应用系统的设计开发过程中，需要对常见的安全攻击手段与防护技术有较为深入的了解，并在开发过程中，对于可能的攻击手段事先设计编写相应的具有防御检测功能的代码，因此对开发人员的防护能力要求较高，同时开发人员无法系统、全面地掌握安全防护知识，因此降低了系统防护可靠性；

而针对外部防护方法，往往通过配置大量的外部设备和前置检测手段，以对危险请求进行拦截和处理，然而专业的外部防护设备为企业造成了极大的成本压力，同时前置检测手段也无法对正常行为和攻击行为进行准确的分析和确定，从而降低了防护效果，无法满足用户的实际需求。

发明内容

为了克服现有技术中存在的上述技术问题，本发明实施例提供一种非侵入式系统安全保护方法，通过根据恶意程序对关键API的调用规律准确识别恶意程序，并通过预设虚拟环境对恶意程序进行非侵入式的动态修改，从而在不侵入原程序的运行的基础上，实现对应用系统的安全保护。

为了实现上述目的，本发明实施例提供一种非侵入式系统安全保护方法，所述方法包括：确定关键API集，所述关键API集包括多个关键API；判断是否获取到针对至少一个关键API的调用操作；在确定获取到所述调用操作的情况下，将所述调用操作对应的关键API调用指令重加载至预设虚拟环境；生成动态拦截指令，在所述预设虚拟环境中基于所述动态拦截指令对所述关键API调用指令进行修改，获得修改后指令；在所述预设虚拟环境中运行所述修改后指令。

优选地，所述确定关键API集，包括：获取预设第一API集；获取当前业务信息，基于当前业务信息确定第二API集，所述第一API集和所述第二API集均为基于JAVA的API集；对所述第一API集和所述第二API集执行并集处理，生成关键API集。

优选地，所述方法还包括：在确定获取到所述调用操作后，获取针对所述至少一个关键API的调用频率；判断所述调用频率是否大于预设频率阈值；在所述调用频率大于所述预设频率阈值的情况下，将所述调用操作对应的关键API调用指令重加载至预设虚拟环境。

优选地，所述将所述调用操作对应的关键API调用指令重加载至预设虚拟环境，包括：创建基于JAVA agent的预设虚拟环境；在所述预设虚拟环境中调用预设贴合程序；基于所述预设贴合程序对所述关键API调用指令进行重加载操作，以将所述关键API调用指令重加载至所述预设虚拟环境。

优选地，所述生成动态拦截指令，包括：确定与所述关键API调用指令对应的被调用API集；确定所述被调用API集的危险等级；在所述危险等级小于第一等级的情况下，生成对应的告警指令；在所述危险等级大于等于所述第一等级的情况下，生成对应的阻断拦截指令；将所述告警指令或所述阻断拦截指令作为所述动态拦截指令。