一种基于入侵行为分析的内存保护方法及装置

本申请涉及数据保护技术领域，具体涉及一种基于入侵行为分析的内存保护方法及装置。

随着网络信息的迅速发展，传统工作模式逐渐在向互联网迁移。信息化在带来方便的同时，也带来风险和威胁。网络非法入侵、信息窃取与篡改、身份伪造与否认等安全问题严重地阻碍了网络及其应用的发展。由防火墙、虚拟专用网VPN和病毒防范技术等为主要组成部分的传统信息安全系统，已无法应对日趋复杂的网络安全问题。

信息系统由服务器、网络、终端三个层面组成。传统的信息安全保障手段对终端设备的监控与保护措施往往较为简单，难以防范针对终端设备的恶意攻击，无法应对如今多样的非法入侵行为。

因此，为满足现阶段的数据保护需求，提供一种基于入侵行为分析的内存保护技术。

本申请提供一种基于入侵行为分析的内存保护方法及装置，基于访问申请记录和访问响应记录的比对情况，对入侵行为进行分析，从而根据访问异常信息进行针对性的内存保护处理。

第一方面，本申请提供了一种基于入侵行为分析的内存保护方法，所述方法包括以下步骤：

记录客户端的访问申请记录以及服务器的数据库内存的访问响应记录；

基于所述访问申请记录与对应的访问响应记录，获得访问异常信息；

基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理；其中，

所述访问申请记录包括访问申请时间、访问内存对象、内存处理行为以及访问内存路径；

所述访问响应记录包括访问响应时间、访问内存对象、内存处理行为以及访问内存路径；

所述客户端与所述服务器的内存访问授权流程包括以下步骤：

客户端向服务器发送访问请求；

服务器响应所述访问请求，随机生成预设字节的种子并结合所述客户端对应的移动设备识别码加密获得加密种子，发送至所述客户端；

服务器以及客户端分别基于预设加密算法，结合识别密钥，对所述加密种子处理，分别获得对应的服务器侧Key和客户端侧Key；

所述服务器比对服务器端侧Key和客户端侧Key，若通过比对，则判定所述客户端通过内存访问授权。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将所述客户端的所述访问申请记录的访问申请时间与所述服务器中对应的所述访问响应记录的访问响应时间进行比对，若比对不通过，则获得对应的访问异常时间点；

基于所述客户端的访问异常时间点，结合预设的时间阈值，获得与所述访问异常时间点对应的访问异常时间段；

统计所述客户端的访问异常时间段，获得对应的访问异常信息。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

向所述服务器和所述客户端配置一算法密钥时间对应表，所述算法密钥时间对应表记录有不同时间段对应的预设加密算法以及识别密钥；

当客户端向服务器发送访问请求，并获得服务器反馈的加密种子之后，服务器以及客户端分别基于算法密钥时间对应表以及访问请求对应的时间点，选定预设加密算法以及识别密钥，对所述加密种子处理，分别获得对应的服务器侧Key和客户端侧Key。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

所述服务器比对服务器端侧Key和客户端侧Key，若通过比对，则所述服务器通过短信或邮件向所述客户端对应的移动终端发送访问反问信息；

所述客户端对应的移动终端基于所述访问反问信息，向所述服务器反馈访问确认信息；

所述服务器收到所述访问确认信息，判定所述客户端通过内存访问授权。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将所述客户端的所述访问申请记录的访问内存对象与所述服务器中对应的所述访问响应记录的访问内存对象进行比对，若比对不通过，则获得对应的访问异常内存对象；

基于所述客户端的访问异常内存对象所属的文件目录，获得与所述访问异常时间点对应的访问异常文件目录；

统计所述客户端的访问异常文件目录，获得对应的访问异常信息。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

标记所述访问异常文件目录对应在所述服务器的数据库内存区域，并配置预设访问加密审核流程；

当客户端向服务器发送访问请求，且访问对象在所述访问异常文件目录范围内时，所述服务器比对服务器端侧Key和客户端侧Key，且比对一致之后，所述客户端与所述服务器执行预设访问加密审核流程，若流程通过则被允许访问并判定服务器端侧Key和客户端侧Key通过比对，反之则拒绝访问并判定服务器端侧Key和客户端侧Key比对不通过。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将所述客户端的所述访问申请记录的访问内存路径与所述服务器中对应的所述访问响应记录的访问内存路径进行比对，若比对不通过，则获得对应的访问异常路径节点；

统计所述客户端的访问异常路径节点，获得对应的访问异常信息。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

所述服务器基于所述访问异常信息中的访问异常路径节点，生成路径避让提示信息，并发送给对应的客户端；

所述客户端基于所述路径避让提示信息，绕开所述路径避让提示信息中的所述访问异常路径节点，向服务器发送访问请求。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将所述客户端的所述访问申请记录的内存处理行为与所述服务器中对应的所述访问响应记录的内存处理行为进行比对，若比对不通过，则获得对应的访问异常处理行为；

统计所述客户端的内存处理行为，获得对应的访问异常信息。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

服务器向所述客户端对应的移动终端添加禁止访问标记，并拷贝所述客户端的应用程序文件；

服务器向所述客户端对应的移动终端发送客户端更新提示信息；

待所述移动终端更新所述客户端后，服务器拷贝更新后客户端的应用程序文件；

比对所述客户端的应用程序文件以及更新后客户端的应用程序文件，若不一致，则取消所述移动终端的禁止访问标记。

第二方面，本申请提供了一种基于入侵行为分析的内存保护装置，所述装置包括：

访问记录模块，其用于记录客户端的访问申请记录以及服务器的数据库内存的访问响应记录；

访问比对模块，其用于基于所述访问申请记录与对应的访问响应记录，获得访问异常信息；

内存保护模块，其用于基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理；其中，

所述访问申请记录包括访问申请时间、访问内存对象、内存处理行为以及访问内存路径；

所述访问响应记录包括访问响应时间、访问内存对象、内存处理行为以及访问内存路径；

所述客户端与所述服务器的内存访问授权流程包括以下步骤：

客户端向服务器发送访问请求；

服务器响应所述访问请求，随机生成预设字节的种子并结合所述客户端对应的移动设备识别码加密获得加密种子，发送至所述客户端；

服务器以及客户端分别基于预设加密算法，结合识别密钥，对所述加密种子处理，分别获得对应的服务器侧Key和客户端侧Key；

所述服务器比对服务器端侧Key和客户端侧Key，若通过比对，则判定所述客户端通过内存访问授权。

本申请提供的技术方案带来的有益效果包括：

本申请基于访问申请记录和访问响应记录的比对情况，对入侵行为进行分析，从而根据访问异常信息进行针对性的内存保护处理，具有一定的安全可靠性，能够有效保护数据信息。

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中提供的基于入侵行为分析的内存保护方法的步骤流程图；

图2为本申请实施例中提供的基于入侵行为分析的内存保护方法的实施流程图。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图对本申请的实施例作进一步详细说明。

本申请实施例提供一种基于入侵行为分析的内存保护方法及装置，基于访问申请记录和访问响应记录的比对情况，对入侵行为进行分析，从而根据访问异常信息进行针对性的内存保护处理，具有一定的安全可靠性，能够有效保护数据信息。

为达到上述技术效果，本申请的总体思路如下：

一种基于入侵行为分析的内存保护方法，该方法包括以下步骤：

S1、记录客户端的访问申请记录以及服务器的数据库内存的访问响应记录；

S2、基于访问申请记录与对应的访问响应记录，获得访问异常信息；

S3、基于访问异常信息，对客户端对服务器的内存访问进行保护处理；其中，

所述访问申请记录包括访问申请时间、访问内存对象、内存处理行为以及访问内存路径；

所述访问响应记录包括访问响应时间、访问内存对象、内存处理行为以及访问内存路径；

所述客户端与所述服务器的内存访问授权流程包括以下步骤：

Q1、客户端向服务器发送访问请求；

Q2、服务器响应访问请求，随机生成预设字节的种子并结合客户端对应的移动设备识别码加密获得加密种子，发送至客户端；

Q3、服务器以及客户端分别基于预设加密算法，结合识别密钥，对加密种子处理，分别获得对应的服务器侧Key和客户端侧Key；

Q4、服务器比对服务器端侧Key和客户端侧Key，若通过比对，则判定客户端通过内存访问授权。

以下结合附图对本申请的实施例作进一步详细说明。

第一方面，参见图1~2所示，本申请实施例提供一种基于入侵行为分析的内存保护方法，该方法包括以下步骤：

S1、记录客户端的访问申请记录以及服务器的数据库内存的访问响应记录；

S2、基于访问申请记录与对应的访问响应记录，获得访问异常信息；

S3、基于访问异常信息，对客户端对服务器的内存访问进行保护处理；其中，

所述访问申请记录包括访问申请时间、访问内存对象、内存处理行为以及访问内存路径；

所述访问响应记录包括访问响应时间、访问内存对象、内存处理行为以及访问内存路径；

所述客户端与所述服务器的内存访问授权流程包括以下步骤：

Q1、客户端向服务器发送访问请求；

Q2、服务器响应访问请求，随机生成预设字节的种子并结合客户端对应的移动设备识别码加密获得加密种子，发送至客户端；

Q3、服务器以及客户端分别基于预设加密算法，结合识别密钥，对加密种子处理，分别获得对应的服务器侧Key和客户端侧Key；

Q4、服务器比对服务器端侧Key和客户端侧Key，若通过比对，则判定客户端通过内存访问授权。

需要说明的是，步骤Q1至Q4为没有进行内存保护处理之前的所述客户端与所述服务器的内存访问授权流程，即所述客户端与所述服务器的原始状态的内存访问授权流程。

本申请实施例中，主要针对借助客户端入侵服务器的数据库，对数据库中的内存信息进行非法访问的入侵方式；

步骤S1属于访问监测操作，即一方面监测客户端向服务器的数据库发起访问申请的申请工作记录，另一方面监测服务器接收来自该客户端的访问申请的响应工作记录，以便后期比较两端工作记录的差异，当某一访问申请记录与对应的访问响应记录，在时间、访问内存对象、内存处理行为或访问内存路径上存在差异时，则认为该次访问工作属于一次非法入侵行为，需要针对该入侵行为进行差异分析，并针对性的进行内存保护；

步骤S2是具体的差异比对操作，获得访问申请记录和对应的访问响应记录之间的差异，从而掌握客户端发起的访问申请的具体情况与服务器响应的访问申请的具体情况之间的差异，该差异则对应了一次非法入侵行为的具体体现；

步骤S3则是具体的内存保护操作，根据非法入侵行为的具体特征，即访问异常信息的具体情况，采取对应的内存保护处理，具体可以是对所述客户端与所述服务器之间原有的内存访问授权流程中的特定环节进行调整，以提高通信的安全性。

本申请实施例，基于访问申请记录和访问响应记录的比对情况，对入侵行为进行分析，从而根据访问异常信息进行针对性的内存保护处理，具有一定的安全可靠性，能够有效保护数据信息。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将客户端的访问申请记录的访问申请时间与服务器中对应的访问响应记录的访问响应时间进行比对，若比对不通过，则获得对应的访问异常时间点；

基于客户端的访问异常时间点，结合预设的时间阈值，获得与访问异常时间点对应的访问异常时间段；

统计客户端的访问异常时间段，获得对应的访问异常信息。

其中，由于信息传输的时间原因，访问申请时间与对应的访问响应时间之间存在微小的时间差，因此，在比对时，若访问申请时间与对应的访问响应时间之间的时间差小于预设的信息传输时间阈值，则判定通过时间比对，反之比对不通过，并将该访问申请时间作为访问异常时间点，判定访问异常时间点对应的时间为非法入侵行为发起的时间；

进而，基于访问异常时间点，往前推算一个第一预设时间阈值的时间值，往后推算一个第一预设时间阈值的时间值，从而获得一个以访问异常时间点为中心的时间段，对该时间段进行内存保护，以便提高内存保护的可靠性。

需要说明的是，访问申请时间、访问响应时间以及访问异常时间点，可以是多种预设的时间周期中的一种，例如：

若时间周期为一天，即24小时，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的几点几分几秒；

若时间周期为一周，即7天，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的周几；

通常情况下，为保障可靠性，访问申请时间、访问响应时间以及访问异常时间点应当是具体的几点几分几秒；

若客户端在正常工作时，对服务器的内存访问频率较低，通常是以周甚至月为单位的访问频率，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的周几，当然，即使访问频率较低，为保障可靠性，访问申请时间、访问响应时间以及访问异常时间点也可以是具体的几点几分几秒。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

A1、向服务器和客户端配置一算法密钥时间对应表，算法密钥时间对应表记录有不同时间段对应的预设加密算法以及识别密钥；

A2、当客户端向服务器发送访问请求，并获得服务器反馈的加密种子之后，服务器以及客户端分别基于算法密钥时间对应表以及访问请求对应的时间点，选定预设加密算法以及识别密钥，对加密种子处理，分别获得对应的服务器侧Key和客户端侧Key。

上述操作，主要是从时间角度进行内存保护，即将预设加密算法以及识别密钥配置成根据时间进行调整的形式，且该调整方式，客户端和服务器均能够知晓；

由此可知，上述操作旨在基于入侵行为对应的时间习惯，在对应的时间点进行算法和密钥的调整，从而提高内存保护的可靠性，提高非法入侵的难度。

另外，步骤A1中，向所述服务器和所述客户端配置一算法密钥时间对应表的具体操作如下：

向所述服务器预先配置一算法密钥时间对应表；

服务器响应所述访问请求，通过短信、邮件或语音信息的方式，向所述客户端的移动终端发送对应表验证码；

所述客户端基于所述对应表验证码，向所述服务器申请算法密钥时间对应表；其中，

当所述客户端完成当前内存访问操作时，即完成当前对服务器的数据库的内存的访问工作后，自行删除算法密钥时间对应表。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将客户端的访问申请记录的访问内存对象与服务器中对应的访问响应记录的访问内存对象进行比对，若比对不通过，则获得对应的访问异常内存对象；

基于客户端的访问异常内存对象所属的文件目录，获得与访问异常时间点对应的访问异常文件目录；

统计客户端的访问异常文件目录，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为的目的地，即从访问对象的角度分析，非法入侵旨在获得哪些数据，获得访问异常文件目录并进行统计后，对对应的内存文件进行有效保护，能够针对性的避免入侵者感兴趣的数据被非法获取。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

B1、标记访问异常文件目录对应在服务器的数据库内存区域，并配置预设访问加密审核流程；

B2、当客户端向服务器发送访问请求，且访问对象在访问异常文件目录范围内时，服务器比对服务器端侧Key和客户端侧Key，且比对一致之后，客户端与服务器执行预设访问加密审核流程，若流程通过则被允许访问并判定服务器端侧Key和客户端侧Key通过比对，反之则拒绝访问并判定服务器端侧Key和客户端侧Key比对不通过。

上述操作，主要是从对象角度进行内存保护，即对入侵行为感兴趣的数据库内存区域进行重点保护；

由此可知，上述操作旨在基于入侵行为对应的兴趣倾向，进行加强保护，从而提高内存保护的可靠性，提高非法入侵的难度。

另外，预设访问加密审核流程可以参考现有的内存加密方法，进行适应性调整，当然，预设访问加密审核流程还可以包括如下步骤：

服务器响应所述访问请求，基于所述访问异常文件目录对应在所述服务器的数据库内存区域的起始地址，生成地址特征信息；

服务器基于所述地址特征信息以及所述客户端对应的移动终端的移动设备识别码，生成访问授权连接；

服务器通过短信或邮件的方式，向所述客户端的移动终端发送访问授权连接；

所述客户端基于所述访问授权连接，获取访问访问异常文件目录对应在所述服务器的数据库内存区域的权限；其中，

当所述客户端完成当前内存访问操作时，即完成当前对服务器的数据库的内存的访问工作后，所述访问授权连接失效；

也就是说，每个所述访问授权连接，仅作用于其对应的当前内存访问操作，仅能针对内存访问操作，赋予客户端一次访问权限。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将客户端的访问申请记录的访问内存路径与服务器中对应的访问响应记录的访问内存路径进行比对，若比对不通过，则获得对应的访问异常路径节点；

统计客户端的访问异常路径节点，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为的入侵路径，即从入侵路径的角度，判断非法入侵在执行过程中，具体哪些节点存在异常，并对异常节点进行标记，以便进行对应处理，能够针对性的避免入侵者再次利用访问异常路径节点进行入侵行为。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

C1、服务器基于访问异常信息中的访问异常路径节点，生成路径避让提示信息，并发送给对应的客户端；

C2、客户端基于路径避让提示信息，绕开路径避让提示信息中的访问异常路径节点，向服务器发送访问请求。

需要说明的是，上述操作主要是应对客户端无法直接与服务器进行访问的情况，即客户端需要借助其他通信节点与服务器进行访问的情况。

具体的，所述基于所述访问申请记录与对应的访问响应记录，获得访问异常信息中，包括以下步骤：

将客户端的访问申请记录的内存处理行为与服务器中对应的访问响应记录的内存处理行为进行比对，若比对不通过，则获得对应的访问异常处理行为；

统计客户端的内存处理行为，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为本身的具体操作行驶，即从内存处理行为的角度分析，判断客户端是否已经被非法控制，从而对对应的客户端进行对应的处理工作，能够针对性的避免入侵者继续借助被非法控制的客户端进行非法入侵行为，从而有效进行内存保护。

具体的，基于访问异常信息，对客户端对服务器的内存访问进行保护处理中，包括以下步骤：

D1、服务器向客户端对应的移动终端添加禁止访问标记，并拷贝客户端的应用程序文件；

D2、服务器向客户端对应的移动终端发送客户端更新提示信息；

D3、待移动终端更新客户端后，服务器拷贝更新后客户端的应用程序文件；

D4、比对客户端的应用程序文件以及更新后客户端的应用程序文件，若不一致，则取消移动终端的禁止访问标记。

需要说明的是，步骤D4之后，在可执行原有的操作步骤Q1~Q4，即执行内存访问授权流程。

上述操作，主要是从更换客户端的角度进行内存保护，即直接对非法控制的客户端进行处理；

由此可知，上述操作旨在更新被非法控制的客户端，进行加强保护，从而提高内存保护的可靠性，提高非法入侵的难度。

需要说明的是，步骤D1旨在记录被非法控制的客户端，一方面以便后期进行比对，另一方面以便后期进行分析，了解非法控制的手段以及源头等关键信息，为后续的内存保护工作提供数据依据；

步骤D4中，若所述客户端的应用程序文件以及更新后客户端的应用程序文件一致，则代表更新后客户端依旧是被非法控制的客户端版本，仍然存在较大的非法入侵风险，因此需要继续在该移动终端上保持禁止访问标记。

具体的，所述基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理中，包括以下步骤：

若服务器端侧Key和客户端侧Key通过比对，则服务器通过短信或邮件向客户端对应的移动终端发送访问反问信息；

客户端对应的移动终端基于访问反问信息，向服务器反馈访问确认信息；

服务器收到访问确认信息，判定客户端通过内存访问授权。

需要说明的是，上述操作可以称作反问内存保护流程，其可在针对时间角度、对象角度、路径角度或客户端角度进行内存保护处理之后，即步骤A2、步骤B2、步骤C2或步骤D4操作之后，在对应的时间点执行。

第二方面，本申请实施例在第一方面提及的一种基于入侵行为分析的内存保护方法的基础上，提供一种基于入侵行为分析的内存保护装置，该装置包括：

访问记录模块，其用于记录客户端的访问申请记录以及服务器的数据库内存的访问响应记录；

访问比对模块，其用于基于所述访问申请记录与对应的访问响应记录，获得访问异常信息；

内存保护模块，其用于基于所述访问异常信息，对所述客户端对所述服务器的内存访问进行保护处理；其中，

所述访问申请记录包括访问申请时间、访问内存对象、内存处理行为以及访问内存路径；

所述访问响应记录包括访问响应时间、访问内存对象、内存处理行为以及访问内存路径；

所述客户端与所述服务器的内存访问授权流程包括以下步骤：

Q1、客户端向服务器发送访问请求；

Q2、服务器响应访问请求，随机生成预设字节的种子并结合客户端对应的移动设备识别码加密获得加密种子，发送至客户端；

Q3、服务器以及客户端分别基于预设加密算法，结合识别密钥，对加密种子处理，分别获得对应的服务器侧Key和客户端侧Key；

Q4、服务器比对服务器端侧Key和客户端侧Key，若通过比对，则判定客户端通过内存访问授权。

本申请实施例中，主要针对借助客户端入侵服务器的数据库，对数据库中的内存信息进行非法访问的入侵方式；

访问记录模块主要用于执行访问监测操作，即一方面监测客户端向服务器的数据库发起访问申请的申请工作记录，另一方面监测服务器接收来自该客户端的访问申请的响应工作记录，以便后期比较两端工作记录的差异，当某一访问申请记录与对应的访问响应记录，在时间、访问内存对象、内存处理行为或访问内存路径上存在差异时，则认为该次访问工作属于一次非法入侵行为，需要针对该入侵行为进行差异分析，并针对性的进行内存保护；

访问比对模块则是执行具体的差异比对操作，获得访问申请记录和对应的访问响应记录之间的差异，从而掌握客户端发起的访问申请的具体情况与服务器响应的访问申请的具体情况之间的差异，该差异则对应了一次非法入侵行为的具体体现；

内存保护模块用于执行具体的内存保护操作，根据非法入侵行为的具体特征，即访问异常信息的具体情况，采取对应的内存保护处理，具体可以是对所述客户端与所述服务器之间原有的内存访问授权流程中的特定环节进行调整，以提高通信的安全性。

本申请实施例，基于访问申请记录和访问响应记录的比对情况，对入侵行为进行分析，从而根据访问异常信息进行针对性的内存保护处理，具有一定的安全可靠性，能够有效保护数据信息。

具体的，访问比对模块包括时间异常比对子模块；

时间异常比对子模块用于将所述客户端的所述访问申请记录的访问申请时间与所述服务器中对应的所述访问响应记录的访问响应时间进行比对，若比对不通过，则获得对应的访问异常时间点；

时间异常比对子模块还用于基于所述客户端的访问异常时间点，结合预设的时间阈值，获得与所述访问异常时间点对应的访问异常时间段；

时间异常比对子模块还用于统计所述客户端的访问异常时间段，获得对应的访问异常信息。

其中，由于信息传输的时间原因，访问申请时间与对应的访问响应时间之间存在微小的时间差，因此，在比对时，若访问申请时间与对应的访问响应时间之间的时间差小于预设的信息传输时间阈值，则判定通过时间比对，反之比对不通过，并将该访问申请时间作为访问异常时间点，判定访问异常时间点对应的时间为非法入侵行为发起的时间；

进而，基于访问异常时间点，往前推算一个第一预设时间阈值的时间值，往后推算一个第一预设时间阈值的时间值，从而获得一个以访问异常时间点为中心的时间段，对该时间段进行内存保护，以便提高内存保护的可靠性。

需要说明的是，访问申请时间、访问响应时间以及访问异常时间点，可以是多种预设的时间周期中的一种，例如：

若时间周期为一天，即24小时，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的几点几分几秒；

若时间周期为一周，即7天，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的周几；

通常情况下，为保障可靠性，访问申请时间、访问响应时间以及访问异常时间点应当是具体的几点几分几秒；

若客户端在正常工作时，对服务器的内存访问频率较低，通常是以周甚至月为单位的访问频率，则访问申请时间、访问响应时间以及访问异常时间点则可以是具体的周几，当然，即使访问频率较低，为保障可靠性，访问申请时间、访问响应时间以及访问异常时间点也可以是具体的几点几分几秒。

具体的，内存保护模块包括时间角度保护子模块；

时间角度保护子模块用于向所述服务器和所述客户端配置一算法密钥时间对应表，所述算法密钥时间对应表记录有不同时间段对应的预设加密算法以及识别密钥；

时间角度保护子模块还用于当客户端向服务器发送访问请求，并获得服务器反馈的加密种子之后，控制服务器以及客户端分别基于算法密钥时间对应表以及访问请求对应的时间点，选定预设加密算法以及识别密钥，对所述加密种子处理，分别获得对应的服务器侧Key和客户端侧Key。

上述操作，主要是从时间角度进行内存保护，即将预设加密算法以及识别密钥配置成根据时间进行调整的形式，且该调整方式，客户端和服务器均能够知晓；

由此可知，上述操作旨在基于入侵行为对应的时间习惯，在对应的时间点进行算法和密钥的调整，从而提高内存保护的可靠性，提高非法入侵的难度。

另外，时间角度保护子模块向所述服务器和所述客户端配置一算法密钥时间对应表的具体操作如下：

向所述服务器预先配置一算法密钥时间对应表；

服务器响应所述访问请求，通过短信、邮件或语音信息的方式，向所述客户端的移动终端发送对应表验证码；

所述客户端基于所述对应表验证码，向所述服务器申请算法密钥时间对应表；其中，

当所述客户端完成当前内存访问操作时，即完成当前对服务器的数据库的内存的访问工作后，自行删除算法密钥时间对应表。

具体的，访问比对模块包括对象异常比对子模块；

对象异常比对子模块用于将所述客户端的所述访问申请记录的访问内存对象与所述服务器中对应的所述访问响应记录的访问内存对象进行比对，若比对不通过，则获得对应的访问异常内存对象；

对象异常比对子模块还用于基于所述客户端的访问异常内存对象所属的文件目录，获得与所述访问异常时间点对应的访问异常文件目录；

对象异常比对子模块还用于统计所述客户端的访问异常文件目录，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为的目的地，即从访问对象的角度分析，非法入侵旨在获得哪些数据，获得访问异常文件目录并进行统计后，对对应的内存文件进行有效保护，能够针对性的避免入侵者感兴趣的数据被非法获取。

具体的，内存保护模块包括对象角度保护子模块：

对象角度保护子模块用于标记所述访问异常文件目录对应在所述服务器的数据库内存区域，并配置预设访问加密审核流程；

对象角度保护子模块用于当客户端向服务器发送访问请求，且访问对象在访问异常文件目录范围内时，服务器比对服务器端侧Key和客户端侧Key，且比对一致之后，客户端与服务器执行预设访问加密审核流程，若流程通过则被允许访问并判定服务器端侧Key和客户端侧Key通过比对，反之则拒绝访问并判定服务器端侧Key和客户端侧Key比对不通过。

上述操作，主要是从对象角度进行内存保护，即对入侵行为感兴趣的数据库内存区域进行重点保护；

由此可知，上述操作旨在基于入侵行为对应的兴趣倾向，进行加强保护，从而提高内存保护的可靠性，提高非法入侵的难度。

另外，预设访问加密审核流程可以参考现有的内存加密方法，进行适应性调整，当然，预设访问加密审核流程还可以包括如下步骤：

服务器响应所述访问请求，基于所述访问异常文件目录对应在所述服务器的数据库内存区域的起始地址，生成地址特征信息；

服务器基于所述地址特征信息以及所述客户端对应的移动终端的移动设备识别码，生成访问授权连接；

服务器通过短信或邮件的方式，向所述客户端的移动终端发送访问授权连接；

所述客户端基于所述访问授权连接，获取访问访问异常文件目录对应在所述服务器的数据库内存区域的权限；其中，

当所述客户端完成当前内存访问操作时，即完成当前对服务器的数据库的内存的访问工作后，所述访问授权连接失效；

也就是说，每个所述访问授权连接，仅作用于其对应的当前内存访问操作，仅能针对内存访问操作，赋予客户端一次访问权限。

具体的，访问比对模块包括路径异常比对子模块：

路径异常比对子模块用于将所述客户端的所述访问申请记录的访问内存路径与所述服务器中对应的所述访问响应记录的访问内存路径进行比对，若比对不通过，则获得对应的访问异常路径节点；

路径异常比对子模块还用于统计所述客户端的访问异常路径节点，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为的入侵路径，即从入侵路径的角度，判断非法入侵在执行过程中，具体哪些节点存在异常，并对异常节点进行标记，以便进行对应处理，能够针对性的避免入侵者再次利用访问异常路径节点进行入侵行为。

具体的，内存保护模块包括路径角度保护子模块；

路径角度保护子模块用于控制所述服务器基于所述访问异常信息中的访问异常路径节点，生成路径避让提示信息，并发送给对应的客户端；

路径角度保护子模块用于控制所述客户端基于所述路径避让提示信息，绕开所述路径避让提示信息中的所述访问异常路径节点，向服务器发送访问请求。

需要说明的是，上述操作主要是应对客户端无法直接与服务器进行访问的情况，即客户端需要借助其他通信节点与服务器进行访问的情况。

具体的，访问比对模块包括客户端异常比对子模块；

客户端异常比对子模块用于将所述客户端的所述访问申请记录的内存处理行为与所述服务器中对应的所述访问响应记录的内存处理行为进行比对，若比对不通过，则获得对应的访问异常处理行为；

客户端异常比对子模块还用于统计所述客户端的内存处理行为，获得对应的访问异常信息。

其中，上述操作旨在识别入侵行为本身的具体操作行驶，即从内存处理行为的角度分析，判断客户端是否已经被非法控制，从而对对应的客户端进行对应的处理工作，能够针对性的避免入侵者继续借助被非法控制的客户端进行非法入侵行为，从而有效进行内存保护。

具体的，内存保护模块包括客户端角度保护子模块；

客户端角度保护子模块用于控制服务器向所述客户端对应的移动终端添加禁止访问标记，并拷贝所述客户端的应用程序文件；

客户端角度保护子模块还用于控制服务器向所述客户端对应的移动终端发送客户端更新提示信息；

客户端角度保护子模块还用于待所述移动终端更新所述客户端后，控制服务器拷贝更新后客户端的应用程序文件；

客户端角度保护子模块还用于比对所述客户端的应用程序文件以及更新后客户端的应用程序文件，若不一致，则取消所述移动终端的禁止访问标记。

上述操作，主要是从更换客户端的角度进行内存保护，即直接对非法控制的客户端进行处理；

由此可知，上述操作旨在更新被非法控制的客户端，进行加强保护，从而提高内存保护的可靠性，提高非法入侵的难度。

需要说明的是，上述操作旨在记录被非法控制的客户端，一方面以便后期进行比对，另一方面以便后期进行分析，了解非法控制的手段以及源头等关键信息，为后续的内存保护工作提供数据依据；

另外，若所述客户端的应用程序文件以及更新后客户端的应用程序文件一致，则代表更新后客户端依旧是被非法控制的客户端版本，仍然存在较大的非法入侵风险，因此需要继续在该移动终端上保持禁止访问标记。

具体的，内存保护模块还包括反问确认子模块，其用于待服务器端侧Key和客户端侧Key通过比对，则服务器通过短信或邮件向客户端对应的移动终端发送访问反问信息；

反问确认子模块还用于接收所述客户端对应的移动终端基于所述访问反问信息，向所述服务器反馈的访问确认信息；

反问确认子模块还用于控制所述服务器收到所述访问确认信息，判定所述客户端通过内存访问授权。

其中，反问确认子模块的操作可以称作反问内存保护流程，其可在针对时间角度、对象角度、路径角度或客户端角度进行内存保护处理之后，在对应的时间点执行。

需要说明的是，本申请实施例中的基于入侵行为分析的内存保护装置，其技术问题、技术领域、技术方案以及技术效果，与第一方面提及的基于入侵行为分析的内存保护方法在技术原理层面相似，在此不做赘述。

需要说明的是，在本申请中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。