同样内存保护系统可以有效保护云主机安全，CWPP(云工作负载安全防护平台)是云安全中首先要考虑的类别之一。CWPP体系结合恶意软件扫描、主机入侵、行为监控、应用检测等8大能力建设，来保护平台免受攻击，但在内存保护层面存在明显薄弱环节，内存保护系统将在云安全上发挥重要作用，内存保护系统将为云安全构建一道新的防线。

文章插图
内存保护系统采用硬件虚拟化技术架构，其中主要有两个环节:防御与管理。内存保护系统为软件形态，运行在系统层，向下与主流架构进行适配，上层则是OS层。内存保护系统运行环境具有一个较高的权限，当其运行时可以理解为运行在Host模式，而整个系统运行在Guest模式。结合VMM技术可实现对系统及内存行为的全面监控，这样可以确保内存保护系统具有较高的检出率，当发现威胁时会上报至管理端，通过管理端进行安全运维管理，管理端提供风险管理、资产盘点、策略管理、日志审计等功能。

文章插图
内存保护系统解决内存防护空白，内存安全是系统安全的一个前提。内存保护系统通过硬件虚拟化技术对内存关键节点进行打点，从而解决内存访问行为不可见问题。该系统充分利用了CPU本身隔离机制，保障自身运行安全，同时可以有效监控内存恶意访问行为，当发现内存中出现恶意执行时，内存保护系统将实时进行检测与阻断，解决内存保护空白。
主动防御体系建设目标
内存保护提供三大防御能力:漏洞防御、数据保护、威胁防御。通过监控内存恶意读、写、执行行为，监控内存中的堆喷射、堆栈溢出、内存数据覆盖等行为，结合拦截模块可以对漏洞进行有效防御。通过监控内存中“多读”“挂钩”“篡改”等行为可以有效保护内存数据。比如心脏滴血就是典型的内存多读恶意行为，挂钩主要用于内存缓存数据窃取，篡改可以对内存数据进行破坏。 基于CPU、内存指令集可以有效监控内存数据执行流状态，从而可以实现威胁防御能力。
同样内存保护系统可以实现真正的“运行时安全保障能力”。内存保护系统可以监控程序合法执行流状态，当其在执行过程中出现任何偏差，内存保护系统将会对其进行实时监测与拦截，适合应用于特定场景，需要对业务进行提前学习。

文章插图
内存保护系统安全管理基于P2DR模型，以策略为核心，建立三大防御能力，对应“保护”、“检测”、“响应”能力。保护主要针对防护内存攻击及防御漏洞攻击。检测需要具备实时监测能力，能够实时发现风险及攻击事件。响应同样需要具备实时响应能力，具备实时拦截及告警能力。
内存保护系统核心参数:CPU使用率小于5%、内存使用率小于40M、稳定运行达到99.99%、基于内存攻击检测率大于95%，并可实现毫秒级响应。具有运行稳定、系统资源消耗低、高检出、低误报、毫秒级响应等特点。

文章插图
建立真正的程序运行时安全是我们建立主动防御体系的目的，我们总结需要具备如下三点能力:
1、需要具备在执行期间阻止攻击能力。
2、能够及时阻止内存滥用问题。
3、能够实现业务上下文关联分析，发现应用程序内部威胁。
【 建设|安芯网盾:基于内存保护技术的主动防御体系建设】攻击发生前阻止是猜测，攻击发生之后阻止为时已晚，内存保护系统为用户提供真正的运行时防护能力。

• 王兴称美团优选目前重点是建设核心能力；苏宁旗下云网万店融资60亿元；阿里小米拟增资居然之家|8点1氪 | 美团
• 建设|龙元建设中标中国移动宁波信息通信产业园二期施工项目
• 建设|《青岛市城市云脑建设指引》发布
• 贵阳|捷顺科技(002609.SZ)中标贵阳智慧停车公共信息服务平台系统建设项目
• 建设|日海智能(002313.SZ)中标板障山山地步道项目线路一智慧化建设设计施工总承包项目
• 信服|深信服何朝曦：安全不能只面向静态风险进行建设，应该从＂面向风险＂转向＂面向能力＂
• 交通运输|推动城市交通大脑建设 深圳将率先开展智能网联汽车立法
• 郑州|郑州铁塔统筹建设，按下5G“快进键”
• 助力工业互联网之都建设！岛城智能科技企业推出“人工智能+工业互联”新方案
• 郑州移动5G通信建设 青年突击队