基于新型程序依赖图的非控制数据攻击检测方法及装置制造方法及图纸

本发明专利技术属于网络安全空间技术领域，特别涉及一种基于新型程序依赖图的非控制数据攻击检测方法及装置，通过静态分析构造程序中安全敏感的非控制数据集合和基本块粒度的新型程序依赖图，对程序LLVM中间语言表示进行插桩；在运行时对程序中安全敏感的非控制数据的访问和调用操作进行验证，从而保护安全敏感的非控制数据的数据流完整性。本发明专利技术将程序的控制流和数据流结合，在运行时根据新型程序依赖图实现对目标程序中安全敏感的非控制数据的数据流完整性保护；将保护的非控制数据缩小到安全敏感的非控制数据集合，在基本块粒度进行分析和插桩处理，保证程序的运行效率，平衡安全性和性能开销，具有较好通用性，为非控制数据攻击检测提供新的解决方案。

Detection method and device of non control data attack based on new program dependency graph

【技术实现步骤摘要】
基于新型程序依赖图的非控制数据攻击检测方法及装置
本专利技术属于网络安全空间
，特别涉及一种基于新型程序依赖图的非控制数据攻击检测方法及装置，可用于检测目标程序中存在的非控制数据攻击行为。
技术介绍
网络空间是连接各种信息技术基础设施的网络，包括互联网、各种计算机系统及人与人之间相互影响的虚拟环境。网络不仅是一个消息的载体和媒介，它还改善着人们思维。从某种程度上讲，人们所处环境，都被赋予网络和信息的属性。因此，可以认为网络空间安全的核心是信息安全。如今，信息技术以及其工业应用迎来了前所未有的繁荣，网络空间安全问题也变得越来越突出。网络安全由于不同环境和应用，分为：系统安全、网络安全、信息传播安全和信息内容安全。系统安全即保证信息处理和传输系统的安全，它侧重于保证系统正常运行，避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失，避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。尽管经过几十年的安全研究，内存破坏攻击仍然对软件系统构成巨大的威胁。这是因为大多数高性能应用程序都是用C和C++等内存不安全的语言编写的，软件开本文档来自技高网...

【技术保护点】
1.一种基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，包含：/nA)通过静态分析，识别和定位目标程序中安全敏感非控制数据，获取安全敏感非控制数据表，并生成目标程序基本块粒度的传统程序依赖图；/nB)结合传统程序依赖图，在有向边上添加包含目标程序中识别和定位的安全敏感非控制数据的注释，构造目标程序的新型程序依赖图；/nC)根据新型程序依赖图，在涉及访问调用安全敏感非控制数据的基本块中进行代码插桩；/nD)执行目标程序时，结合新型程序依赖图和安全敏感非控制数据表进行进程的攻击检测，以保证目标程序中安全敏感非控制数据的数据流完整性。/n

【技术特征摘要】
1.一种基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，包含：
A)通过静态分析，识别和定位目标程序中安全敏感非控制数据，获取安全敏感非控制数据表，并生成目标程序基本块粒度的传统程序依赖图；
B)结合传统程序依赖图，在有向边上添加包含目标程序中识别和定位的安全敏感非控制数据的注释，构造目标程序的新型程序依赖图；
C)根据新型程序依赖图，在涉及访问调用安全敏感非控制数据的基本块中进行代码插桩；
D)执行目标程序时，结合新型程序依赖图和安全敏感非控制数据表进行进程的攻击检测，以保证目标程序中安全敏感非控制数据的数据流完整性。


2.根据权利要求1所述的基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，A)中安全敏感非控制数据包含目标程序中自定义函数的函数参数，系统调用参数，及与函数参数和系统调用参数存在依赖关系的变量。


3.根据权利要求1所述的基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，A)中识别和定位安全敏感非控制数据，包含如下内容：
A1)利用编译器生成目标程序对应的中间语言表示，并生成对应的基本块粒度的程序依赖图；
A2)分析目标程序对应的中间语言表示，识别并定位安全敏感非控制数据，并构建目标程序中安全敏感非控制数据表。


4.根据权利要求3所述的基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，A2)中识别并定位的安全敏感非控制数据，包含：通过敏感函数分析，识别的自定义函数和系统调用函数,并提取和定位对应自定义函数和系统调用函数的参数；通过数据依赖分析，识别并定位与自定义函数参数和系统调用参数存在依赖关系的变量。


5.根据权利要求1所述的基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，B)中在有向边添加注释，对应于基本块执行时访问和调用的安全敏感非控制数据情形，该情形包含将安全敏感非控制数据作为算术逻辑运算对象操作使用时的访问行为和将安全敏感非控制数据作为函数参数操作使用时的调用行为。


6.根据权利要求1所述的基于新型程序依赖图的非控制数据攻击检测方法，其特征在于，C)中进行代码插桩，包含如下内容：
C1)从目标程序的中间代码取一个基本块i；
C2)根据新型程序依赖图，判断该基本块中是否存在访问且调用同一个安全敏感非控制数据，若存在，则在对应的访问操作之后和调用操作之前分别插入插桩代码，并判断目标程序的所有基本块是否已进行插桩处理完毕，若未处理完毕，则进入步骤C3)；
C3)判断基本块i中是否存在访问安全敏感的非控制数据的情况，若存在，则在基本块i的出口处插入插桩代码，若不存在，则进入步骤C4)；
C4)判断基本块i中是否存在调用安全敏感的非控制数据的情况，若存在，则在基本块i的入口处插入插桩代码；否则，判断目标程序的所有基本块是否已经进行插桩处理完毕；
C5)若目标程序中还有基本块等待进行插桩处理，i＝i+1，...

【专利技术属性】
技术研发人员：李清宝，王烨，曹飞，杨治国，张平，陈志峰，张贵民，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南;41