[发明专利]一种针对面向返回编程攻击的智能化检测方法及装置

说明书

本文发明涉及安全检测领域，公开了一种针对面向返回编程攻击的智能化检测方法及装置，属于系统底层安全检测领域，主旨在于实现能够针对程序的二进制可执行文件进行检测，不需要被测软件程序的源码便可处理商用软件。主要方案包括对被测程序进行插桩，利用反汇编技术将被测程序的执行过程以汇编代码的形式输出，即得到程序执行流；利用执行流进行实时监测，筛选出可疑程序执行流；对可疑程序执行流进行二次筛选，利用人工智能模型对疑似ROP攻击做到精准判断，并根据判断结果决定是否启动ROP防御，对判断为ROP攻击的程序采用限时警报和主动crash的策略，防止被测程序遭受更大的损失。

技术领域

本发明属于系统底层安全检测领域，具体一种针对面向返回编程攻击的智能化检测方法，其被测的程序为可运行的目标文件，可通过人工智能模型自动学习检测程序是否遭受攻击。

背景技术

如今，云计算和移动互联网技术成为新的潮流，一方面推动了信息化发展，另一方面也给传统的系统安全模型和保护技术带来了新的挑战。软件安全漏洞的利用是常用且关键的技术，攻击者通过漏洞入侵网络和系统，然后进行窃取数据、运行恶意软件等进一步攻击，程序安全对于计算机的发展和应用起着至关重要的作用。随着安全防护技术的发展，攻击者不停地尝试利用各种漏洞，对程序进行攻击。起初攻击者尝试攻击程序的控制流，通过向栈中注入恶意代码，劫持正常的程序流程控制流程，转入攻击者预先设置的控制流，并执行恶意代码，进而实施攻击。

于是出现多种诸如StackGuard等具有针对性的防护技术，即通过修改可执行程序的内存布局来使程序运行栈不可执行，防止注入攻击；再者是更为复杂的W+X技术，即通过硬件或软件的支持，来保证进程映像中的内存区域不能同时可执行或可写入。

在此基础上，新的攻击技术Returntolibc继而出现，通过利用已有代码，如libc库中的代码，实施攻击。攻击者通过栈溢出，覆盖正常函数栈中的返回地址，使恶意调用的函数的参数覆盖栈中返回地址邻近区域的内存空间，然后函数调用返回时，会去执行libc中的攻击者指定的函数，如使用systerm()，执行shell，达到恶意企图。值得强调的是，不但libc中的代码可以被使用，任何可执行的代码都有可能被攻击者恶意调用和攻击。

Returntolibc技术虽然使得攻击者绕过了基于W+X等技术的防护，但是与代码注入攻击相比，还是受到了很大限制。其一，在Returntolibc中，被恶意调用的函数的执行顺序只能是线性的，不能使用分支后者跳转，而恶意注入代码并无此限制；其二，恶意调用的函数只能是程序的代码段或者加载的库中可用的函数，如果去掉某些危险的库函数，将很大程度上限制攻击者的攻击能力。因而W+X技术某种程度上也限制了攻击者的能力。

在此基础上，为了克服上述Returntolibc技术的限制，提高对库或应用程序中代码段的利用率，细化代码使用粒度，HovavShacham提出了基于代码片段ReturnOrientedProgramming(ROP)的方法，通过使用程序库，包括libc、驱动程序等可执行的代码片段，构建图灵完备的程序，达到攻击程序的正常控制流程、提升攻击者操作权限甚至完全获取计算机控制权的目的。该方法由于构造奇妙、充分利用了当前计算机体系结构和指令集系统的完备的表述能力，因而能够绕过当前很多杀毒软件的扫描和病毒特征比对，完全绕过当前主流操作系统防范缓冲区溢出攻击的保护机制DEP。

自2007年提出ROP以来，其相关攻击技术发展迅速。ROP攻击最初是在Linux的32为平台上实现，后来在多种软硬件平台上也实现了ROP攻击[8]。ROP攻击的核心思想是构造gadget链，也就是将具有特殊功能的gadget链接在一起。利用返回指令ret链接gadget的方法(即面向返回编程，Return-Oriented Programming)最先被提出，并广泛的得到应用。因此专门检测ret指令的防御机制被提出，于是攻击者只好另寻他法，不再使用ret链接gadget，于是各种ROP攻击变种被提出。