[发明专利]一种基于动态分析的控制流劫持攻击检测方法与系统

说明书

本发明涉及基于二进制代码流的漏洞攻击检测技术领域，尤其涉及Windows操作系统下的漏洞攻击检测系统。该技术采用了动态二进制插桩技术对程序进行运行时监控，具体内容包括：详细分析控制流劫持攻击的实现原理和具体流程，总结出应用程序因控制流劫持攻击造成的主要异常行为；无需在运行目标程序前进行其他操作，使用二进制插桩技术提取程序运行时信息进行实时的攻击检测；记录攻击的详细信息用于程序漏洞分析；在确定攻击的第一时间终止程序运行，阻止攻击进一步行为。本发明为控制流劫持攻击检测提供了新的解决方案。

技术领域

本发明涉及基于二进制代码流的漏洞攻击检测技术领域，尤其涉及Windows操作系统下的漏洞攻击检测系统。

背景技术

从1988年的morris蠕虫病毒到2017年的wannacry勒索病毒足以可见网络空间安全的严峻态势。据CNVD2017年的收录漏洞类型统计，应用程序漏洞占比高达59.2％，并且漏洞数量在逐年增多。尽管各大软件厂商在不断改进和完善软件开发质量管理，但软件漏洞问题仍无法彻底消除。

应用程序漏洞的利用方式多种多样，而控制流劫持攻击是最常见的一种。控制流劫持攻击允许攻击者破坏程序的控制数据，通常将执行流重定向到攻击者自己的注入代码。通过执行恶意代码能够完全控制程序和系统，造成极大的危害。目前的操作系统中部署了地址空间布局随机化(Address Space Layout Randomization,ASLR)、数据执行保护(Data Execution Protection,DEP)、结构化异常处理安全校验(SafeStructuredException Handling，SafeSEH)等安全机制，一定程度上缓解了控制流劫持攻击对软件和系统的危害。但是，因为系统环境的多样性，攻击者仍然能够找到绕过这些安全机制的方法，实现恶意攻击。

为了解决以上安全问题，我们提出了一个基于动态分析的控制流劫持攻击检测系统。通过对控制流劫持攻击的原理和具体流程的分析，提出一种通用性很好的控制流劫持攻击检测方案。传统的控制流完整性策略CFI虽然能够有效的防御控制流劫持攻击，但是难以在实际环境中部署。其主要原因有两点：一是CFG的构造困难，完整的CFG构造需要依赖程序源码，对于复杂的程序而言更是难以实现。二是需要检查程序中的每一个间接控制转移，细粒度的检测会引起非常大的开销。动态污点分析技术在实际检测中存在过污染、欠污染等问题，所以效率较低且精度不高。因此我们需要一种高效且易于部署的控制流劫持攻击检测方法，能够在实际环境中防御控制流劫持攻击。

发明内容

“CFHADS：基于动态分析的控制流劫持攻击检测系统”是在漏洞攻击检测技术研究过程中针对迄今为止存在的技术问题和不足所提出的发明。本发明的一个目标是改进现有的软件漏洞攻击检测技术(控制流完整性、动态污点分析技术)复杂且难以部署到实际环境中的弱点，提供一种轻便高效的漏洞攻击检测技术，实现在实际应用环境中防御控制流劫持攻击。传统的控制流完整性策略CFI虽然能够有效的防御控制流劫持攻击，但是需要依赖源码和静态分析技术来构造完整的CFG。动态污点技术通过对污点数据的传播监控能够有效的检测漏洞攻击，却会引起极大的开销。本发明提供了一种全新的基于动态分析的漏洞攻击检测思路，不需要依赖源码和静态分析进行预处理，仅需要在程序运行时对于异常行为进行监控。该方法能够成功检测控制流劫持攻击，效率高，较传统的漏洞攻击检测技术有良好的性能开销，更易于部署。

为了实现上述目标，本发明提供了一种基于动态分析的控制流劫持攻击检测系统，该系统能够有效的识别控制流劫持攻击，并且能够记录攻击的具体流程和及时制止攻击。该系统包含了：管理端，对检测过程和检测结果进行管理，并提供一个用户交互界面；动态信息提取器，提取程序运行时信息用于检测分析，为了减少性能影响，只对需要的关键信息进行提取；异常行为检测器，实现异常行为：栈执行、ROP攻击、SEH异常和内存访问异常的检测；攻击处理模块，记录和保存攻击的详细信息，阻止攻击的进一步操作。

附图说明

从下面结合附图的详细描述中，将会更清楚的理解本发明的目标、实现方法、有点和特性，其中。