[发明专利]一种基于硬件特性的代码复用攻击检测系统及方法

说明书

本发明属于计算机软件技术领域，公开了一种基于硬件特性的代码复用攻击检测系统及方法；包括内核模块、插桩模块、路径分析模块、断点选择器模块。内核模块具有系统调用拦截器、断点设置功能、断点拦截器的功能，插桩模块用于辅助拦截库函数调用功能，路径分析模块具有路径分析与验证的功能，断点选择器模块通过插装工具的二进制程序动态分析功能来实现。传统动态检测的方法性能开销较大、能够被新型的代码复用攻击所绕过。本发明结合程序分析技术和相关硬件特性提出一种新的高效检测程序控制流异常的方法，不需要修改目标程序源代码(或二进制代码)，能够有效检测较为复杂的代码复用攻击，其性能开销较小，易于在实际环境中部署。

技术领域

本发明属于计算机软件技术领域，尤其涉及一种基于硬件特性的代码复用攻击检测系统及方法。

背景技术

目前，业内常用的现有技术是这样的：随着软件和网络的发展，控制流劫持攻击已经越来越受到攻击者们的重视。控制流劫持攻击的本质是现代计算机没有明确区分代码和数据，但是现在明显不可能再重新设计一套计算机架构，只能在现有的基础上设计防护手段。随着系统的更新优化，现代操作系统本身的漏洞已经减少了，但是即使操作系统能够尽可能的保证自身是暂时安全的，也无法保证安装在其上的软件是安全的。所以需要一些技术，即使漏洞存在，也使攻击者无法利用。近代操作系统在此思路上进行了大量的研究，实现并应用了很多保护方案，其中最著名的便是微软的DEP+ASLR保护。当年此保护方式在很长一段时间给黑客们带来了很多困扰，功绩赫然。但是攻防之间的对抗是永远不会停息的，为了突破微软的DEP+ASLR保护，一些新型的控制流劫持攻击技术被应用，代码复用攻击就是当前非常流行的一种。与传统的代码注入攻击不同，代码复用攻击不需要引入新的外部代码，仅利用程序自身或者动态链接库中已有代码进行攻击来执行各种恶意操作。近年来随着代码复用攻击技术的越来越成熟，DEP+ASLR的保护已经不能再满足安全的要求，急需一种新型的安全机制来保护计算机的安全。微软在windows10上采用了新型的CFG技术，是一种编译器和操作系统相结合的防护手段，目的在于防止不可信的间接调用，但是由于其本身仍有一些局限性，很快便被黑客们找到了利用方法，而微软也在不断的更新和完善CFG保护。其实早在十年前，便有人提出了控制流完整性(简称CFI)保护机制，其被认为是最有前途的技术之一，但是这些传统CFI动态检测方法，要么性能开销较大，要么可能被新型代码复用攻击所绕过。

综上所述，现有技术存在的问题是：传统CFI动态检测方法，要么性能开销较大(例如需要对每一个分支跳转进行检查)，未检测程序路径信息，能够被新型代码复用攻击(比如COOP攻击)所绕过安全检测。

发明内容

针对现有技术存在的问题，本发明提供了一种基于硬件特性的代码复用攻击检测系统及方法。

本发明是这样实现的，一种基于硬件特性的代码复用攻击检测系统，所述基于硬件特性的代码复用攻击检测系统包括：

内核模块，用于敏感函数调用拦截器、分支记录功能、断点设置功能、断点拦截器；

插桩模块，用于辅助内核模块拦截库函数调用；

路径分析模块，用于路径分析与验证；

断点选择器模块，通过与内核模块通信设置硬件断点。

进一步，所述内核模块还包括：断点断拦截单元、敏感库函数拦截单元、系统函数调用拦截单元、缓存单元、路径监控单元、断点设置单元；

所述插桩模块还包括：动态插桩组件；

所述路径分析模块还包括：路径分析器；

所述断点选择器模块还包括：断点选择器。

进一步，所述基于硬件特性的代码复用攻击检测系统包括：

离线分析模块，用于离线静态分析和离线动态分析；