[发明专利]一种基于Pin工具的ROP及其变种攻击的动态检测方法

说明书

属于攻击检测领域，本发明公开了一种基于Pin工具的ROP及其变种攻击的动态检测方法，步骤1：利用二进制Pin插桩工具启用目标程序；步骤2：跟踪所述目标程序，匹配ret指令、call指令与jmp指令；步骤3：若为ret指令，则利用基于ret指令的检测模块进行检测；若为call指令，则利用基于call指令的检测模块进行检测；若为jmp指令，则利用基于jmp指令的检测模块进行检测；步骤4：若检测模块检测出所述目标程序的异常，则发出攻击警报；否则跳转至步骤2；本发明能对ROP及其变种攻击进行动态检测，有很强的实用性和通用性。

技术领域

本发明涉及一种针对ROP攻击的检测技术，特别是一种基于Pin工具的ROP及其变种攻击的动态检测方法，用于对ROP及其变种攻击进行检测。

背景技术

网络安全有很多类，例如：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。而本发明所涉及的是应用系统安全，计算机上运行的各类软件都是由人工编写，由于人的局限性，所编写的软件或多或少都存在漏洞。缓冲区溢出漏洞、堆溢出漏洞和本地提权漏洞仍然普遍存在，一旦这些漏洞被别有用心的人发现并加以利用，带来的危害不可小视。为了应对漏洞造成的危害，专家们提出并采取了各种保护措施来保护计算机，例如DEP(Data Execution Prevention，数据执行保护)、GS保护技术等。漏洞利用和漏洞防御是相互竞争关系，漏洞防御阻止了当前的漏洞利用，而攻击者又会提出新的技术绕过这些防御措施。漏洞防御和漏洞利用长时间处于被动与主动的状态，这一状态根据当前技术的发展状况会持续很久，或许会一直存在。

就缓冲区溢出攻击而言，在相当一段时间内给网络安全造成了巨大威胁。但是DEP和GS等保护措施提出后，传统的缓冲区溢出攻击事件大幅减少，但是这持续时间并没有存在多久，攻击者随后就提出了一种新的攻击方式ROP(面向返回导向的编程，Return-oriented Programming)。在2010年初，网络上出现了ROP的实际攻击的例子，攻击者利用Adobe Acrobat/Reader的一个0day漏洞，使用ROP攻击绕过了Windows系统的数据执行保护技术。而在2011年的温哥华Pwn2own黑客大会上，黑客利用ROP技术在很短时间内绕过了Windows 7的DEP和ASLR(Address space layout randomization)保护技术，并获得了该次黑客竞赛的冠军。近期，著名黑客网站Exploit Database发布了众多利用ROP攻击绕过Windows DEP和ASLR的shellcode，使得ROP技术越来越被人们重视，被认为是未来攻击系统的必须的技术和手段。

ROP攻击是一种基于代码复用技术的新型攻击，攻击者提取已有的动态库或可执行文件中的有用的指令片段，使多个指令片段组合在一起构成恶意代码。换言之，它通过使用系统内存中已经存在的二进制代码片段(gadget)来构造一个具有图灵完备性的攻击序列，可以绕过当前主流操作系统防范缓冲区溢出攻击的保护机制DEP，给计算机系统带来了极大的安全威胁。

自2007年Schacham提出ROP以来，其相关攻击技术发展迅速。ROP攻击最初是在32位的x86硬件平台的Linux软件平台上实现的，之后被证明可以在多种软硬件平台上实现；ROP的变种JOP(Jump-Oriented Programming)进一步丰富了ROP；构造ROP的自动化程度越来越高；ROP被用来构造各种攻击。因此提出一种有效的ROP攻击及其变种的检测技术，对于计算机的安全十分的重要。

从上面描述得知，ROP攻击不同于普通的缓冲区溢出攻击，它通过提取正常的指令片段构造恶意代码，这与普通的缓冲区溢出攻击有着本质的区别，同时这一特点也给ROP攻击的检测工作带来了巨大的挑战。ROP攻击检测引起了众多研究者的关注，虽然对ROP攻击的检测技术已经取得了许多成就，但是大多数检测方法都是针对RET指令，不使用RET指令的ROP变种可以绕过这些防御，比如pop-jmp和JOP。

发明内容