[发明专利]一种检测ROP攻击的方法和装置

说明书

本申请公开了一种检测ROP攻击的方法、装置、计算机设备和计算机可读存储介质，所述方法通过获取目标进程的信息，进而利用IPT机制跟踪目标进程，获得间接跳转数据；再利用已经获得的间接跳转数据构建基线；构建基线后，通过新获得的间接跳转跟踪数据，构建新的间接跳转序列表；然后通过对比间接跳转序列与基线间的关系，检测所述目标进程是否是ROP攻击所产生的进程。本申请不需要修改原有的二进制文件，仅依赖芯片与CPU提供的功能，即可解决相关技术中检测ROP攻击过程中系统损耗大的问题，在检测ROP攻击过程中能使系统保持高性能。

技术领域

本申请涉及信息安全领域，特别是涉及一种检测ROP攻击的方法、装置、计算机设备和计算机可读存储介质。

背景技术

DEP(Data Execution Prevention，数据执行保护)是一种依赖于CPU(centralprocessing unit，中央处理器)实现的安全机制，，但是自从ROP(Return OrientedProgramming，返回导向编程)的概念提出后，基于ROP的攻击可以轻易的绕过DEP，DEP已经不能满足人们的安全需求。

在现有技术中，通常通过以下方式达到检测或防御ROP攻击，第一种，插件改造GCC(GNU Compiler Collection，GNU编译器套件)，达到使ROP难以构造的目的，但是这种方式并不成熟，容易造成性能问题；第二种，通过改造二进制文件，编译期消除函数尾的间接跳转，达到使ROP难以构造的目的，但这种方式属于侵入式修改，修改二进制文件后，容易造成软件本身的功能失效。因此，上述检测或防御ROP攻击的方式都存在运行过程中对系统的损耗大的问题。

目前针对相关技术中检测ROP攻击过程中对系统的损耗大的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种检测ROP攻击的方法、装置、计算机设备和计算机可读存储介质，以至少解决相关技术中检测ROP攻击过程中对系统的损耗大的问题。

第一方面，本申请实施例提供了一种检测ROP攻击的方法，所述方法包括：

获取目标进程的信息；

利用IPT(Intel Processor Tracing，英特尔处理器跟踪)机制对所述目标进程进行跟踪，并获得间接跳转跟踪数据；

根据所述目标进程的信息，为所述间接跳转跟踪数据预先分配物理内存；

当所述间接跳转跟踪数据将所述预先分配的物理内存写满时，触发性能监视中断，且记录触发所述性能监视中断的次数；

当触发所述性能监视中断的次数达到预设触发次数后，根据达到所述预设触发次数前的所述间接跳转跟踪数据构建基线；

在构建所述基线后，当所述性能监视中断再次被触发时，根据新产生的所述间接跳转跟踪数据构建间接跳转序列表；

当所述目标进程进入系统调用时，，对比所述间接跳转序列表和所述基线，根据对比结果检测所述目标进程是否是ROP攻击所产生的进程。

在其中一些实施例中，所述根据所述目标进程的信息，为所述间接跳转跟踪数据预先分配物理内存，包括：

根据所述目标进程的信息，获取所述目标进程的内核进程描述结构；

根据所述内核进程描述结构，为所述间接跳转跟踪数据预先分配物理内存。

在其中一些实施例中，所述根据所述内核进程描述结构，为所述间接跳转跟踪数据预先分配物理内存，包括：

根据所述内核进程描述结构，获取所述目标进程的页目录地址；

根据所述页目录地址，为所述间接跳转跟踪数据预先分配物理内存。