[发明专利]防御网络攻击的方法、装置以及设备

说明书

技术领域

本发明涉及网络安全领域，尤其涉及防御网络攻击的方法、装置及设备。

背景技术

因特网访问的日益增长给恶意代码的远程攻击带来了可乘之机，网络中的攻击行为也在成倍的增长。基于缓冲区溢出的攻击已经成为网络攻击中最常见也是最具威胁的攻击方式之一。缓冲区溢出是指，计算机程序在缓冲区输入的数据位数超过了缓冲区的边界而造成的溢出。缓冲区溢出攻击包括多种类型，包括：基于堆的溢出攻击，基于栈的溢出攻击等。由于溢出的数据可能覆盖缓冲区相邻内存中的合法数据，破坏数据完整性，溢出的数据也可能覆盖函数指针或栈中的函数返回地址，破坏程序的执行流程，使得程序执行一些非安全代码，从而出现了缓冲区溢出漏洞。攻击者利用溢出漏洞，利用程序在缓冲区输入超过其边界长度的代码，造成溢出，使溢出的数据覆盖返回地址后，在返回地址处写上可以改变程序流程的地址，即跳转地址，使该地址指向自己的恶意代码，从而达到攻击、破坏系统的目的。

现有的相关防范缓冲区溢出攻击技术之一通过发现缓冲区溢出，结束该缓冲区溢出线程来防范缓冲区溢出攻击。相关的技术方案包括调用挂钩系统关键APII(Application Programming Interface，应用程序编程接口)函数，检查函数的返回地址，根据该返回地址是否在栈范围内以及返回地址的属性是否可写，进一步来判断是否发生缓冲区溢出，当发现缓冲区溢出时，将引起该缓冲溢出的线程结束。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

由于检查函数的返回地址前，存在返回地址或者页面属性被恶意修改的情况，该恶意修改可以有效的绕过上述方案仍然能达到恶意攻击的目的，通过上述的相关技术很难有效防御缓冲区溢出攻击。

发明内容

为解决上面提到的问题，本发明实施例提供了一种防御网络攻击的方法，特别在防御缓冲区溢出的时候采用该方法以保证网络实施的安全性，该方法包括：

获知栈空间分配启动，实施随机化操作获得随机化操作数；

根据所述随机化操作数更新栈空间地址信息。

本发明实施例还提供了一种应用防御网络攻击的方法，该方法包括：

实施程序后回到栈空间的返回地址，所述返回地址所在的栈空间为栈基地址随机化后的栈空间，所述返回地址内存储的信息为栈基地址随机化后的栈空间数据信息；

根据所述返回地址内容转到所述返回地址空间所在的程序执行。

本发明实施例还提供了一种防御网络攻击的装置，所述装置包括：

随机化模块，获知栈空间分配启动，实施随机化操作获得随机化操作数；

地址更新模块，根据所述随机化操作数更新栈空间地址信息。

本发明实施例还提供了一种防御网络攻击的设备，所述设备包括：

调用模块，启动栈空间分配，调用栈空间分配信息；

随机化模块，实施随机化操作，随机化分配随机值；

触发模块，根据所述调用模块触发随机化模块的操作；

地址更新模块，将所述栈空间地址信息更新为所述分配随机值。

由上述本发明的实施例提供的技术方案可以看出，利用本发明实施例方案的缓冲区溢出防御方法，不但可以高效、准确的拦截恶意程序的缓冲区溢出攻击，而且避免了安全防护软件对新漏洞特征码获取的滞后性，是一种安全、高效攻击防御方法。并且对于未知的缓冲区漏洞溢出攻击，也可以准确、及时的拦截，在其未对系统造成危害的时候阻止其执行实施。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为计算机系统进程在内存中的映像示意图；

图2为栈的内部结构示意图；

图3为待存放数组的栈的内容示意图；

图4为存放数组的栈的内容示意图；

图5为包括数组在内的字符串的栈的内容示意图；

图6为本发明实施例一的方法示意图；

图7为本发明实施例二的方法示意图；

图8为本发明实施例三的示意图；

图9为本发明实施例的装置图；

图10为本发明实施例的设备图；

具体实施方式