[发明专利]一种篡改程序流攻击的检测方法和装置

权利要求书

1.一种篡改程序流攻击的检测方法，其特征在于，包括：

确定被检测进程发生分支预测失败事件时，获取所述被检测进程中发生时刻距离当前时刻由近及远的N条跳转指令；

从所述N条跳转指令中筛选出符合预设高危条件的M条跳转指令，N和M均为正整数，且N不小于M；

获取所述M条跳转指令的目标地址；

若所述M条跳转指令的目标地址未全部包含在预设的白名单中时，确定所述被检测进程发生篡改程序流攻击；

所述从所述N条跳转指令中筛选出符合预设高危条件的M条跳转指令，包括：

将所述N条跳转指令中的静态跳转指令和已经发生过的动态跳转指令筛选出来作为所述M条跳转指令。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

若所述M条跳转指令的目标地址全部包含在预设的白名单中时，确定所述被检测进程运行安全。

3.如权利要求1-2任一项所述的方法，其特征在于，所述预设的白名单由下述方式获得：

通过静态扫描的方式读取可执行文件的二进制代码，所述可执行文件是指运行后生成所述被检测进程的文件；

利用反汇编工具从所述二进制代码中获取包含所有的跳转指令；

获取所述所有的跳转指令中的各跳转指令分别对应的目标地址；

保存获取到的目标地址，从而形成白名单。

4.如权利要求3所述的方法，其特征在于，获取所述M条跳转指令的目标地址，包括：

针对所述M条跳转指令中的第一跳转指令，若所述第一跳转指令所属的指令类型为无条件转移类、条件转移类、或为调用指令类中的调用子程序类时，则将所述第一跳转指令中包含的地址作为所述第一跳转指令的目标地址；

若所述第一跳转指令所属的指令类型为调用指令类中的调用子程序与返回类，则将所述第一跳转指令的下一条跳转指令中包含的地址作为所述第一跳转指令的目标地址；

其中，所述第一跳转指令为所述M条跳转指令中的任意一个。

5.一种篡改程序流攻击的检测装置，其特征在于，包括：

第一获取单元，用于确定被检测进程发生分支预测失败事件时，获取所述被检测进程中发生时刻距离当前时刻由近及远的N条跳转指令；

筛选单元，用于从所述N条跳转指令中筛选出符合预设高危条件的M条跳转指令，N和M均为正整数，且N不小于M；

第二获取单元，用于获取所述M条跳转指令的目标地址；

确定单元，用于在所述M条跳转指令的目标地址未全部包含在预设的白名单中时，确定所述被检测进程发生篡改程序流攻击；

所述筛选单元从所述N条跳转指令中筛选出符合预设高危条件的M条跳转指令时，具体用于：

将所述N条跳转指令中的静态跳转指令和已经发生过的动态跳转指令筛选出来作为所述M条跳转指令。

6.如权利要求5所述的装置，其特征在于，所述确定单元还用于：

在所述M条跳转指令的目标地址全部包含在预设的白名单中时，确定所述被检测进程运行安全。

7.如权利要求5-6任一项所述的装置，其特征在于，所述装置还包括第三获取单元，所述预设的白名单由所述第三获取单元由下述方式获得：

通过静态扫描的方式读取可执行文件的二进制代码，所述可执行文件是指运行后生成所述被检测进程的文件；

利用反汇编工具从所述二进制代码中获取包含所有的跳转指令；

获取所述所有的跳转指令中的各跳转指令分别对应的目标地址；

保存获取到的目标地址，从而形成白名单。

8.如权利要求7所述的装置，其特征在于，所述第二获取单元在获取所述M条跳转指令的目标地址时，具体用于：

针对所述M条跳转指令中的第一跳转指令，若所述第一跳转指令所属的指令类型为无条件转移类、条件转移类、或为调用指令类中的调用子程序类时，则将所述第一跳转指令中包含的地址作为所述第一跳转指令的目标地址；

若所述第一跳转指令所属的指令类型为调用指令类中的调用子程序与返回类，则将所述第一跳转指令的下一条跳转指令中包含的地址作为所述第一跳转指令的目标地址；

其中，所述第一跳转指令为所述M条跳转指令中的任意一个。