The invention discloses a defense method against real-time code reuse attack, which includes the following steps: S1, acquiring the original page flow diagram of shared library code; S2, adding a record of page flow in the original XnR sliding window; S3, comparing the original page flow diagram of shared library code with the record of page flow in the sliding window, and detecting illegal flow. The invention can improve the defensive capability of the initial XnR and avoid the defect that the memory pages loaded into the process address space can not be continuously detected.
【技术实现步骤摘要】
一种抵抗实时代码复用攻击的防御方法
本专利技术属于计算机代码安全防御
,具体涉及一种抵抗实时代码复用攻击的防御方法。
技术介绍
实时代码复用攻击是利用内存页可读的漏洞截获某一内存页,尽可能多的通过控制流分析获取其他页的二进制内容。具体是基于得到的页面信息,实时代码复用攻击构建了一个动态编译引擎,搜集短序列构造gadgets并编译攻击代码。针对代码复用攻击的防御,现有技术中的可执行不可读(XnR)方案,将内存页的执行权限和读权限分割成两个不相交的集合,做互斥管理,能够防御大部分利用内存页可读漏洞的攻击。但是如果一个内存页已经被加载到了进程的地址空间里,后续的检测都无法实现,直到它被移出地址空间。假设窥视内存的行为以函数为单位,对于某一个函数,若每次该函数先被调用,再被恶意程序读取,则该行为不会触发XnR防御机制。因此,XnR方案存在固有缺陷。
技术实现思路
本专利技术的目的在于克服现有技术中的不足,提供了一种抵抗实时代码复用攻击的防御方法,实现内存页的防御。为解决上述技术问题,本专利技术提供了一种抵抗实时代码复用攻击的防御方法,其特征是,包括以下步骤:S1,获取共...
【技术保护点】
1.一种抵抗实时代码复用攻击的防御方法,其特征是,包括以下步骤:S1,获取共享库代码原有的页面流向图;S2,在原有的XnR滑动窗口增加页面流向的记录;S3,对比共享库代码原有的页面流向图和滑动窗口内的页面流向的记录,检测非法流。
【技术特征摘要】
1.一种抵抗实时代码复用攻击的防御方法,其特征是,包括以下步骤:S1,获取共享库代码原有的页面流向图;S2,在原有的XnR滑动窗口增加页面流向的记录;S3,对比共享库代码原有的页面流向图和滑动窗口内的页面流向的记录,检测非法流。2.根据权利要求1所述的一种抵抗实时代码复用攻击的防御方法,其特征是,S1中,获取共享库代码原有的页面流向图的具体过程为:将共享库代码转换为SSA形式的中间语句;分析SSA形式的中间语句获得基本块之间的跳转关系;获取每条指令的偏移量,将各指令的偏移量映射为一个线性页号;在SSA形式的中间语句中标记上对应的页号,由语句间的跳转关系获得页间的跳转关系,即获得共享库代码原有的页面流向图。3.根据权利要求2所述的一种抵抗实时代码复用攻击的防御方法,其特征是,共享库代码利用BAP平台转换为SSA形式...
【专利技术属性】
技术研发人员:周超,黄伟,郭雅娟,姜海涛,王梓莹,郭静,朱道华,李岩,
申请(专利权)人:国网江苏省电力有限公司电力科学研究院,国家电网有限公司,江苏省电力试验研究院有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。