[发明专利]一种基于RET指令与JMP指令的ROP攻击检测方法

权利要求书

1.一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，

包括创建循环队列；

利用二进制插桩工具启用目标程序；

跟踪目标程序并进行指令匹配；

加载对应指令的检测模块以及检测模块生成疑似ROP攻击指令；

将疑似ROP攻击指令加入循环队列并判断其是否超出阀值；

疑似ROP攻击指令包括基于异常事件的RET指令和/或JMP指令；疑似ROP攻击指令包括基于异常事件的RET指令和/或JMP指令，异常事件包括在RET指令执行跳转后，目标地址单元的上一单元格内不是CALL指令；

此循环队列容量为10个指令，用于存放满足特征的指令；队列初始为空，设置int类型标志位location用于记录当前队尾地址；当需要存放的指令大于10时，新插入的指令将按照插入顺序由早到晚覆盖之前的指令，使得循环队列中维护的都是最新运行的指令，以保证ROP攻击检测的准确性。

2.根据权利要求1所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的利用二进制插桩工具启用目标程序，包括

插入器通过Ptrace函数获取目标进程的控制权限和上下文；

加载插桩动态链接库至地址空间；

二进制插桩工具启动目标程序；

调度器启动编译器，编译器编译插桩代码，完成后并存储；

执行已存储的插桩代码并输出。

3.根据权利要求1所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的跟踪目标程序并进行指令匹配，包括将目标程序进行RET指令匹配和/或JMP指令匹配。

4.根据权利要求1所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的加载对应指令的检测模块以及检测模块生成疑似ROP攻击指令，包括利用二进制插桩工具加载基于RET指令的检测模块和/或基于JMP指令的检测模块。

5.根据权利要求1所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的疑似ROP攻击指令包括基于异常事件的RET指令和/或JMP指令，异常事件还包括基于JMP指令的检测模块所获取JMP指令目标地址与当前地址的差值较大。

6.根据权利要求1所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的将疑似ROP攻击指令加入循环队列并判断其是否超出阀值，包括在异常事件出现后，基于RET指令的和/或基于JMP指令的检测模块将疑似ROP攻击指令加入对应指令的循环队列，对应的检测模块判断其是否超出阀值。

7.根据权利要求6所述的一种基于RET指令与JMP指令的ROP攻击检测方法，其特征在于，所述的将疑似ROP攻击指令加入循环队列并判断其是否超出阀值，包括，在循环队列中，存在至少2个RET指令和/或存在JMP指令目标地址与当前地址差值的方差超过10。