一种基于动态分析的控制流劫持攻击检测技术与系统技术方案

本发明专利技术涉及基于二进制代码流的漏洞攻击检测技术领域，尤其涉及Windows操作系统下的漏洞攻击检测系统。该技术采用了动态二进制插桩技术对程序进行运行时监控，具体内容包括：详细分析控制流劫持攻击的实现原理和具体流程，总结出应用程序因控制流劫持攻击造成的主要异常行为；无需在运行目标程序前进行其他操作，使用二进制插桩技术提取程序运行时信息进行实时的攻击检测；记录攻击的详细信息用于程序漏洞分析；在确定攻击的第一时间终止程序运行，阻止攻击进一步行为。本发明专利技术为控制流劫持攻击检测提供了新的解决方案。

【技术实现步骤摘要】
一种基于动态分析的控制流劫持攻击检测技术与系统
本专利技术涉及基于二进制代码流的漏洞攻击检测
，尤其涉及Windows操作系统下的漏洞攻击检测系统。
技术介绍
从1988年的morris蠕虫病毒到2017年的wannacry勒索病毒足以可见网络空间安全的严峻态势。据CNVD2017年的收录漏洞类型统计，应用程序漏洞占比高达59.2％，并且漏洞数量在逐年增多。尽管各大软件厂商在不断改进和完善软件开发质量管理，但软件漏洞问题仍无法彻底消除。应用程序漏洞的利用方式多种多样，而控制流劫持攻击是最常见的一种。控制流劫持攻击允许攻击者破坏程序的控制数据，通常将执行流重定向到攻击者自己的注入代码。通过执行恶意代码能够完全控制程序和系统，造成极大的危害。目前的操作系统中部署了地址空间布局随机化(AddressSpaceLayoutRandomization,ASLR)、数据执行保护(DataExecutionProtection,DEP)、结构化异常处理安全校验(SafeStructuredExceptionHandling，SafeSEH)等安全机制，一定程度上缓解了控制流劫持攻击对软件和系本文档来自技高网...

【技术保护点】
1.一种基于动态分析的控制流劫持攻击检测技术,其特征在于,所述方法包括如下步骤:A、分析异常行为，制定判定准则；C、提取程序运行时信息；D、根据判定准则和提取到的程序运行时行为特征进行检测。

【技术特征摘要】
1.一种基于动态分析的控制流劫持攻击检测技术,其特征在于,所述方法包括如下步骤:A、分析异常行为，制定判定准则；C、提取程序运行时信息；D、根据判定准则和提取到的程序运行时行为特征进行检测。2.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，所述的步骤A进一步包括如下步骤：A1、分析控制流劫持攻击的流程；A2、整理控制流劫持攻击的行为特征；A3、依据行为特征制定判定准则。3.根据权利要求2所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤A2中所述的控制流劫持攻击的行为特征具体是指：1)执行恶意代码。完整的控制流劫持攻击最后必然会执行恶意代码，而恶意代码的存在形式有两种。一种是攻击者精心构造、然后注入到应用程序内存空间中的恶意代码，主要表现形式为栈空间恶意代码执行和堆空间恶意代码执行。另一种是程序本身存在、然后被攻击者按照一定规则利用的恶意代码，主要表现形式为ROP攻击。2)SEH利用。控制流劫持攻击的关键步骤是劫持程序的EIP，一种巧妙的利用方式是利用Windows系统下的结构化异常处理SEH。覆盖结构化异常处理函数的地址，破坏了SEH链表的完整性。3)内存访问异常。控制流劫持攻击构造的恶意载体一般是针对特定版本的操作系统和应用程序，而现实世界中系统环境多种多样，因此恶意数据在应用程序的内存空间中不能按攻击者所想进行布局，导致应用程序出现内存访问异常甚至崩溃。4.根据权利要求2所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤A3中所述的判定准则具体是指：1)栈空间执行代码；2)出现ROP攻击；2)SEH链表结构不完整；3)出现内存访问异常。5.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，所述的步骤B进一步包括如下步骤：B1、对目标程序进行二进制插桩；B2、获取目标程序运行时信息。6.根据权利要求5所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤B2中所述的目标程序运行时信息具体是指：目标程序指令执行、模块加载、线程创建、敏感函数调用、程序上下文和内存空间数据。7.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，...

【专利技术属性】
技术研发人员：刘亮，吴小王，贾鹏，
申请(专利权)人：四川大学，
类型：发明
国别省市：四川,51