[发明专利]基于数据流分析的恶意攻击检测方法

摘要

本发明涉及计算机安全漏洞的攻击检测方法。该检测系统由虚拟执行部件，数据标记部件，数据追踪部件，误用检测部件和漏洞分析部件组成。该方法是：由虚拟执行部件启动被监控程序，当有外部输入数据时，数据标记部件生成感染数据结构，由数据追踪部件标记传播的被感染数据，误用检测部件判断被感染数据的使用是否违反安全规则与配置，最后漏洞分析部件收集并分析与安全漏洞相关的信息。本发明适用于程序运行时的安全漏洞恶意攻击检测与分析，由此阻止恶意攻击行为，并提供安全漏洞的详细信息。具有不需要源代码的特点，能够检测出绝大部分溢出安全漏洞，误报率为零，并能为安全漏洞的自动化补丁生成提供充足的信息。

主权项

1.基于数据流分析的恶意攻击检测方法，其特征在于包括如下组成部件：虚拟执行部件：采用反汇编模块生成目标程序汇编指令流，当遇到控制转移指令，或基本块的累计指令数目超出用户定义的范围时，设置为该基本块的结束。然后，虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。数据标记部件：将任何来自不安全源头的输入数据标记为被感染数据。默认认为来自网络套接字的输入是不安全的，因为对大多数程序来讲网络是最有可能导致攻击的因素。作为扩展，也可以将其它不安全的源头输入标记为被感染数据，如从某些文件或是输入设备输入的数据。数据追踪部件：在作好感染数据标记工作后，需要将对感染数据的传播进行跟踪，因为受感染数据在被正当使用时，可能造成其他内存的数据也成为感染数据。在此，将追踪因数据移动指令和算术指令导致的数据移动行为和被感染数据。误用检测部件：正确的标记感染数据，并实时的跟踪感染数据的传播，就能对攻击行为进行检测。检查被感染数据是否如规则所定义的被非法使用。默认规则包含对格式化字符串攻击、改变跳转对象攻击(如返回地址、函数指针、函数指针偏移)的检测。当检测到被感染数据被非法使用，提示可能有攻击发生，并调用漏洞分析部件进一步分析。漏洞分析部件：感染数据标记和感染数据追踪两个步骤记录的信息展示了感染数据进入系统入口到它如何被非法使用的相关执行路径。通过被感染数据结构跟踪链，可以提供许多信息，包括原始感染数据的输入缓冲区，感染数据被使用时的程序计数器和调用堆栈，实际溢出地点。可以使用这些信息快速分析程序安全漏洞的真实地址和安全漏洞类型。