[发明专利]一种基于虚拟机的ROP攻击检测方法及系统有效
| 申请号: | 201210075159.0 | 申请日: | 2012-03-20 |
| 公开(公告)号: | CN102663312A | 公开(公告)日: | 2012-09-12 |
| 发明(设计)人: | 贾晓启;王蕊;姜军 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F21/20 | 分类号: | G06F21/20;G06F9/455 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 余长江 |
| 地址: | 100029 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于虚拟机的ROP攻击检测方法及系统,属于系统安全技术领域。本方法为:1)将待保护的操作系统运行在虚拟域环境中;2)定位设定的目标进程,获取目标进程的进程信息;3)监控该系统中进程运行,当上下文切换到目标进程时,将当前目标进程的堆栈标记为只读;4)拦截当内存页面错误引发自对一个可写堆栈内存区域标记为只读后发生的写操作,并将相应堆栈页面标记为可写;5)定位当前目标进程在执行过程中下一需堆栈检查的地方,设置断点;6)截获断点并检测ROP攻击是否存在;当检测到ROP攻击时,停止当前目标进程,否则使目标进程继续运行,同时将目标进程的堆栈标记为只读。本方法具有检测率高,误报率低等特点。 | ||
| 搜索关键词: | 一种 基于 虚拟机 rop 攻击 检测 方法 系统 | ||
【主权项】:
一种基于虚拟机的ROP攻击检测方法,其步骤为:1)将待保护的操作系统运行在虚拟机提供的虚拟域环境中;2)利用定位程序定位设定的目标进程,获取目标进程的进程信息;3)修改该虚拟机的进程上下文切换事件处理程序,监控该系统中进程运行,当上下文切换到目标进程时,将当前目标进程的堆栈标记为只读;4)修改该虚拟机的内存页面错误事件处理程序,拦截当内存页面错误引发自对一个可写堆栈内存区域标记为只读后发生的写操作,并将相应堆栈页面标记为可写;5)定位当前目标进程在执行过程中下一需堆栈检查的地方,在需堆栈检查处设置断点;6)修改该虚拟机的调试异常事件处理程序,截获断点并检测ROP攻击是否存在;7)当检测到ROP攻击时,停止当前目标进程;如果没有ROP攻击,则使目标进程继续运行,同时将目标进程的堆栈标记为只读。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210075159.0/,转载请声明来源钻瓜专利网。
