[发明专利]一种基于多策略指令检测的ROP及变种攻击动态检测方法

摘要

本发明公开了一种基于多策略指令检测的ROP及变种攻击动态检测方法，该方法基于二进制动态插桩技术拦截指令的方式，采用关键指令检测策略、攻击指令片段特征检测策略的两种策略判断方法来实现ROP攻击及变种攻击的检测。关键指令检测策略又根据指令地址及指令数量特征分析。攻击指令片断特征检测策略根据攻击功能及复杂度特征分析，包括攻击指令片段大小判断策略和攻击指令片段连续长度判断策略。本方法采用多层检测策略，从正常及异常指令特征两个角度、综合指令地址、数量、攻击功能、攻击复杂度等四类特征维度、结合确定性及不确定性两类检测方法综合实现ROP攻击及其变种攻击的检测。本方法性能消耗较低，占用内存空间小。

主权项

1.一种基于多策略指令检测的ROP及变种攻击动态检测方法，其特征在于：该方法基于二进制动态插桩技术拦截指令的方式，从正常及攻击角度综合分析，采用关键指令检测策略、攻击指令片段特征检测策略的两种策略判断方法来实现ROP攻击及变种攻击的检测；其中关键指令检测策略又根据指令地址及指令数量特征分析，包括了关键指令跳转策略和关键指令数量平衡策略；攻击指令片断特征检测策略根据攻击功能及复杂度特征分析，包括攻击指令片段大小判断策略和攻击指令片段连续长度判断策略；其中，多策略判断逻辑如下：首先，采用关键指令地址跳转策略，能够检测出return‑into‑libc攻击和能够检测出以call指令结尾的gadget构造的攻击，且能够初步判断以jmp结尾的gadget是否是一个有效的gadget；第二，在关键指令地址跳转策略的基础上执行关键指令数量平衡判断策略，通过判断call_ret平衡条件，即当ret指令数目多于call指令数目时，能够检测出一部分典型ROP攻击；第三，由于上述策略不能检测出call指令数目多于ret指令数目时，可能发生的ROP攻击；因此在关键指令数量平衡判断策略的基础上执行攻击指令片段的大小(区分攻击功能)与连续长度(体现攻击整体复杂程度)特征判断策略，能够进一步判断是否是典型或者特殊构造的ROP攻击；第四，在关键指令跳转策略的基础上，执行指令片段特征检测策略，通过判断以jmp结尾的gadget的大小和连续gadget数目，能够进一步判断是否是特殊的JOP攻击；策略1：关键指令检测策略策略1.1关键指令跳转策略(1)检测连续两次：ret跳转的目标地址是否是库函数的地址；(2)检测call指令跳转的目标地址是否是函数的开始地址；(3)检测jmp跳转地址与源地址间的距离d是否小于阈值T0；策略1.2：关键指令数量平衡策略；Δ＝call_number–ret_number策略2：攻击指令片段特征检测策略；策略2.1攻击指令片段大小判断策略；策略2.2攻击指令片段连续长度判断策略；通过执行策略1中的策略1.1，能够进行return‑into‑libc攻击、以call指令结尾的gadget构造的XOP变种攻击的检测；通过执行策略1.1中的(1)能够判断是否发生了return‑into‑libc攻击；执行策略1.1中的(2)判断能够判断是否发生了以call指令结尾的gadget构造的XOP变种攻击；执行策略1.1中的(3),当d>T0时能够判断以jmp结尾的指令序列是否可能是一个有效的gadget，从而判断典型的JOP攻击。