[发明专利]一种针对面向返回编程攻击的智能化检测方法及装置

权利要求书

1.一种针对面向返回编程攻击的智能化检测装置，其特征在于，包括以下模块：

动态二进制插桩模块：对被测程序进行插桩，利用反汇编技术将被测程序的执行过程以汇编代码的形式输出，即得到程序执行流；

可疑程序执行流筛选模块：利用动态二进制插桩模块的输出对程序的执行流进行实时监测，筛选出可疑程序执行流；

智能检测模块：对可疑程序执行流进行二次筛选，利用人工智能模型对疑似ROP攻击做到精准判断，并根据判断结果决定是否启动ROP防御模块；

ROP防御模块：对判断为ROP攻击的程序采用限时警报和主动crash的策略，防止被测程序遭受更大的损失；

智能检测模块实现步骤具体流程如下：

a、将具有可疑行为的程序执行流进行数据清洗操作，具体表现为：关注程序执行流中异常/可疑的指令流，并利用滑动窗口机制，取固定长度大小Size的指令流进行数据编码操作；

b、在进行数据编码操作之前，我们利用Intel汇编代码种类将程序执行流以汇编代码到数字的映射方式，对程序所具有的编码代码进行唯一的one-hot编码，每一条汇编指令都会被编码为仅由0、1字符串所组成的1*128维的向量，得到one-hot向量，从而形成一张编码表；

c、然后将滑动窗口内的单条指令代码按照编码表对应翻译成1*128维的向量，然后再将滑动窗口内的所有指令代码按如上方式翻译，得到每条指令所对应的one-hot向量，从而得到ne-hot向量构成的序列；

d、定义神经网络模型，分别为embedding层、lstm层、fc1层以及fc2层，在embedding层将one-hot向量构成的序列转换为特定长度的向量，对一个滑动窗口内的指令代码序列，将它转换成了一个Size*128维的矩阵向量，暂记为向量矩阵embedding_output，其中Size为长度的滑动窗口内的指令数，接着，将向量矩阵embedding_output的每列向量依次输入到lstm层重复迭代，最终产生一个长度为128维的向量作为输出，暂记为向量lstm_output，然后将此向量lstm_output先通过fc1层，同样输出一个128维的向量记为fc1_output，并通过dropout遍历神经网络每一层的节点，然后通过对该层的神经网络设置一个节点保留概率keep_prob即该层的节点有keep_prob的概率被保留，通过设置神经网络该层节点的保留概率，使得神经网络不会去偏向于某一个节点，从而使得每一个节点的权重不会过大，来减轻神经网络的过拟合，最终在fc2层通过全连接输出2个值作为整个网络的输出，即对可疑程序执行流的判断结果；

f、针对输出的二分类判断结果来决定是否采取ROP防御手段，如果分类结果为0，表明该程序未遭受ROP攻击，此时可以简单记录日志，方便后期回查；

如果分类结果为1，则表明该程序正遭受ROP攻击，此时就要启动相应的防御措施避免程序软件遭受更严重的损失，并同时记录好日志结果。

2.根据权利要求1所述的一种针对面向返回编程攻击的智能化检测装置，其特征在于，可疑程序执行流筛选模块包括以下几个部分：

指令统计模块：利用动态二进制插桩模块所输出的程序执行流，对程序执行流中每一条指令出现的次数分别进行统计计数，得到每条指令出现的次数；

ROP运行特征监控模块：定义具有ROP攻击特征的指令集为gadgets，根据ROP攻击原理，提取出gadgets指令集的特征，根据gadgets指令集的特征筛选出程序执行流中满足ROP攻击特征的指令；

多阈值统计模块：综合指令统计模块与ROP运行特征监控模块的结果，筛选出ROP攻击特征的指令出现的次数满足阈值设置指令，即为可疑程序执行流，以供可疑行为监测模块使用。

3.根据权利要求2所述的一种针对面向返回编程攻击的智能化检测装置，其特征在于，ROP运行特征监控模块具体包括以下步骤：

步骤1：定义具有ROP攻击特征的指令集为gadgets，故ROP运行特征等同于gadgets的特征，根据ROP攻击原理，提取gadgets指令集的特征，包括指令集数量、连续gadgets数量、gadgets指令集间距；

步骤2：根据gadgets指令集的特征筛选出程序执行流中满足ROP攻击特征的指令。