[发明专利]一种基于多策略指令检测的ROP及变种攻击动态检测方法

说明书

本发明公开了一种基于多策略指令检测的ROP及变种攻击动态检测方法，该方法基于二进制动态插桩技术拦截指令的方式，采用关键指令检测策略、攻击指令片段特征检测策略的两种策略判断方法来实现ROP攻击及变种攻击的检测。关键指令检测策略又根据指令地址及指令数量特征分析。攻击指令片断特征检测策略根据攻击功能及复杂度特征分析，包括攻击指令片段大小判断策略和攻击指令片段连续长度判断策略。本方法采用多层检测策略，从正常及异常指令特征两个角度、综合指令地址、数量、攻击功能、攻击复杂度等四类特征维度、结合确定性及不确定性两类检测方法综合实现ROP攻击及其变种攻击的检测。本方法性能消耗较低，占用内存空间小。

技术领域

本发明涉及一种基于多策略指令检测的ROP及变种攻击动态检测方法，尤其涉及一种基于关键指令检测策略、攻击指令片段检测策略的多策略判断ROP攻击及变种攻击的检测方法，属于内存攻防领域。

背景技术

Solar Designer在1997年提出return-into-libc攻击技术通过漏洞利用将函数的返回地址替换为libc库中的函数代码块的地址，将控制流直接转向攻击者预先设计好的libc函数构成的攻击代码块。但一旦libc的开发者移除常用的system等库函数，攻击能力会受到很大的限制。Hovav Shacham在2007年提出了ROP攻击(Return-OrientedPrograming)，通过扫描已有的动态链接库和可执行文件，根据一定的规则寻找内存中的以ret指令结尾的指令序列(指令片段gadget)，组合实现各种复杂的攻击行为。针对ROP攻击的ret指令和gadget组合规律进行检测可以防止部分ROP攻击。然而，随后提出的ROP攻击变种可以不同程度绕过这些针对ret指令提出的防御机制。Checkoway等人在2010年提出用类似于ret属性的指令序列替代原有ret结尾指令序列。之后Blestch又提出JOP(jumpOriented Programing)攻击方式，不再以ret指令结尾而是以间接跳转指令jmp结尾。还有研究学者提出了BIOP攻击：使用jmp或call来控制程序执行流。将这些ROP的变种攻击统称为“X”OP攻击。

二进制代码动态翻译技术能够对程序二进制代码指令的动态执行过程进行实时监视、修改和记录，无需知道源代码，也不需要重新编译或重新链接程序，因此能够在不修改软件的前提下分析任何可执行软件的运行过程是否存在ROP及其变种攻击。但当前的基于二进制代码动态翻译技术的ROP及其变种攻击检测方式中面临以下几个问题。第一，检测方法不够全面，而单一检测方法的漏报率、误报率较高，对典型攻击的检测正确率较高，但难以发现特殊方式构造的攻击。例如，当前检测方法往往仅检测正常指令或异常指令特征，或部分特征(如指令地址、数量、攻击功能、攻击复杂度等特征中的一部分)，或者仅使用确定性检测方法(如基于栈的检测方法仅检测跳转地址是否改变)，或非确定性检测方法(如基于阈值的指令检测方法)。第二，较之基于指令的检测方法，基于栈的检测方法性能消耗过大。如基于影子栈的ROPdefender检测方法需要对栈进行两次操作，性能开销较高，占用内存更多。

发明内容

本发明要解决的技术问题是，提供一种基于多策略指令检测的ROP攻击及其变种攻击的动态检测方法，该方法具有低误报、低漏报和实时检测和无需程序源代码的优点。

为实现上述目的，本发明采用的技术方案为一种基于多策略指令检测的ROP及变种攻击动态检测方法，该方法基于二进制动态插桩技术拦截指令的方式，从正常及攻击角度综合分析，采用关键指令检测策略、攻击指令片段特征检测策略的两种策略判断方法来实现ROP攻击及变种攻击的检测。其中关键指令检测策略又根据指令地址及指令数量特征分析，包括了关键指令跳转策略和关键指令数量平衡策略。攻击指令片断特征检测策略根据攻击功能及复杂度特征分析，包括攻击指令片段大小判断策略和攻击指令片段连续长度判断策略。