[发明专利]一种基于RET指令与JMP指令的ROP攻击检测方法有效
| 申请号: | 201510498408.0 | 申请日: | 2015-08-14 |
| 公开(公告)号: | CN105138903B | 公开(公告)日: | 2018-07-10 |
| 发明(设计)人: | 张小松;王颖;牛伟纳;陈瑞东;王东;俞工淳;漆艳梅;樊添 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | G06F21/52 | 分类号: | G06F21/52 |
| 代理公司: | 成都弘毅天承知识产权代理有限公司 51230 | 代理人: | 杨保刚 |
| 地址: | 611731 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于RET指令与JMP指令的ROP攻击检测方法,本发明涉及软件安全领域,其旨在解决现有应对ROP攻击的方法只有一种类型或一个步骤的ROP攻击检测验证,不能够充分地识别ROP攻击指令的本质性特征,不能够检测到深度隐藏的ROP攻击指令,并存在匹配精度低,误判率高且检测通用性差等技术问题。采用插桩工具跟踪目标程序,匹配相应指令,得到指令流,以此为依据,将疑似符合ROP攻击特征的指令加入循环队列。利用数学方法,对循环队列中的指令进行进一步判定,根据输出结果与ROP攻击特征进行再一次匹配,由此判定ROP攻击。本发明用于ROP攻击的全面检测。 | ||
| 搜索关键词: | 指令 攻击检测 攻击 攻击特征 循环队列 匹配 判定 本质性特征 插桩工具 目标程序 全面检测 软件安全 深度隐藏 输出结果 通用性差 一次匹配 误判率 指令流 检测 数学 验证 跟踪 | ||
【主权项】:
1.一种基于RET指令与JMP指令的ROP攻击检测方法,其特征在于,包括创建循环队列;利用二进制插桩工具启用目标程序;跟踪目标程序并进行指令匹配;加载对应指令的检测模块以及检测模块生成疑似ROP攻击指令;将疑似ROP攻击指令加入循环队列并判断其是否超出阀值;疑似ROP攻击指令包括基于异常事件的RET指令和/或JMP指令;疑似ROP攻击指令包括基于异常事件的RET指令和/或JMP指令,异常事件包括在RET指令执行跳转后,目标地址单元的上一单元格内不是CALL指令;此循环队列容量为10个指令,用于存放满足特征的指令;队列初始为空,设置int类型标志位location用于记录当前队尾地址;当需要存放的指令大于10时,新插入的指令将按照插入顺序由早到晚覆盖之前的指令,使得循环队列中维护的都是最新运行的指令,以保证ROP攻击检测的准确性。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510498408.0/,转载请声明来源钻瓜专利网。
- 上一篇:便利式轮椅
- 下一篇:一种远程终端的控制方法及移动终端
