[发明专利]基于深度学习的控制流完整性检测方法

说明书

本发明公开了一种基于深度学习的控制流完整性检测方法，包括获取训练程序及其可执行文件；反汇编可执行文件并构建粗粒度控制流图；监测程序的控制流并收集地址信息；构建训练程序的细粒度控制流图并切分得到训练数据；训练分类器得到控制流完整性检测分类器；获取待检测程序的地址信息；构建待检测程序的gadget链编码；采用控制流完整性检测分类器进行检测并完成待检测程序的控制流的完整性检测。本发明构建精确的控制流图，然后拆分控制流图用于神经网络训练，并在程序运行时实时获取分支信息，并通过神经网络模型进行检测；本发明能够较好的进行程序的控制流完整性检测，而且可靠性高、检测准确率高且实施方便。

技术领域

本发明属于计算机安全领域，具体涉及一种基于深度学习的控制流完整性检测方法。

背景技术

随着经济技术的发展和人们生活水平的提高，计算机已经广泛应用于人们的生产和生活当中，给人们的生产和生活带来了无尽的便利。而随着智能、大数据时代的到来，人们对于计算机的安全问题越来越关注。

不安全的系统编程语言(例如C和C++)的使用，会导致软件中存在大量漏洞。根据最近的安全威胁报告，近10年来漏洞数量呈现明显上升趋势。

代码复用攻击(如ROP和JOP)利用内存溢出漏洞，在不注入任何恶意代码的情况下利用程序中的分支指令劫持程序控制流，并将其重新定向到程序中已有的以分支指令结尾的微小代码片段(gadget)，通过构造和执行这些gadget，达到恶意攻击的目的。这种攻击已经扩展到PowerPC、Atmel AVR、SPARC、Harward和ARM等多种不同的平台，且已显示其强大的攻击力。甚至Adobe Reader、Adobe Flash Player以及QuickTime Player等众多著名的商业软件也已被代码复用攻击成功攻击。

控制流完整性(control flow integrity，CFI)是当前防御代码复用攻击(codereuse attack，CRA)的主流防御技术之一。CFI将程序的控制流转移限制在该程序的控制流图(control flow graph，CFG)范围内。控制流完整性有基于软件和硬件辅助软件两种实现方式。基于软件的CFI向可执行文件中插入检测标签指令或添加程序运行时监测机制，从而达到检测控制流的目的，该方式具有易部署，无需硬件支持等优点，但存在修改二进制代码或修改编译器等问题。基于硬件辅助的CFI通过添加特定的控制流指令或者额外的硬件模块，从而有效减少性能开销。然而，硬件辅助防御机制同样需要扩展指令集、修改编译器，并且需要较大的空间开销。

发明内容

本发明的目的在于提供一种可靠性高、检测准确率高且实施方便的基于深度学习的控制流完整性检测方法。

本发明提供的这种基于深度学习的控制流完整性检测方法，包括如下步骤：

训练阶段：

S1.获取训练程序的可执行文件；

S2.对步骤S1获取的可执行文件进行反汇编，并以gadget为单位构建粗粒度控制流图；

S3.对步骤S1获取的训练程序，采用英特尔分支追踪(Intel Processor Trace，IPT)监测程序的控制流，从而收集地址信息；

S4.根据步骤S2得到的粗粒度控制流图和步骤S3得到的地址信息，构建程序的细粒度控制流图；

S5.对步骤S4得到的细粒度控制流图进行切分，得到良性gadget链和恶意gadget链，并作为训练数据；

S6.采用步骤S5得到的训练数据对分类器进行训练，从而得到最终的控制流完整性检测分类器；

检测阶段：

S7.对于待检测程序，采用IPT监测程序的控制流，从而收集地址信息；