【技术实现步骤摘要】
一种ROP链的检测方法、装置及介质
[0001]本专利技术涉及流量检测领域,特别是涉及一种ROP链的检测方法、装置及介质。
技术介绍
[0002]针对操作系统缓解机制,出现了一种利用程序中的代码片段实现程序执行流程控制的技术,称为返回导向式编程(Return Oriented Programming,ROP)。攻击者通过多次调用程序内存空间中的代码去实施ROP攻击,从而成功绕过保护机制,实现任意指令执行。利用以ret指令结尾的指令片段(Gadget)构建一条ROP链,是ROP攻击中Gadget的一个重要特点。Gadget是构建ROP链的基本单元,根据代码片段的不同,可被组合起来完成各种不同的任务,如加载值到寄存器、存储、算术与逻辑运算等。
[0003]由于ROP代码中包含大量Gadget在内存中的地址,现有研究中通常考虑初始化目标进程,识别代码段内存地址范围,然后扫描输入数据,检查输入数据中是否存在特殊的Gadget内存地址,从而实现对ROP链的检测。现有的ROP链检测过程中需要对数据包进行多次检测,待检测数据较长整...
【技术保护点】
【技术特征摘要】
1.一种ROP链的检测方法,其特征在于,包括:获取待测流量数据包并将所述待测流量数据包预处理得到第一数据;根据操作系统位数将所述第一数据复制处理为多个第二数据并依据字节位置依次对多个所述第二数据划分处理对应得到多个第一生成数据;根据字节地址划分原则和Gadget地址空间将多个所述第一生成数据对应划分为多个第二生成数据;根据滑动窗口将多个所述第二生成数据判定得到对应的滑动数据;当检测到多个所述滑动数据对应的任意一个序列满足预设条件时,则输出目标序列中首次出现的位置对应的所述第一生成数据的位置以作为所述ROP链的位置。2.根据权利要求1所述的ROP链的检测方法,其特征在于,所述预设条件为所述滑动数据对应的序列存在连续为1且连续为1的数据长度大于预设值的所述目标序列。3.根据权利要求1所述的ROP链的检测方法,其特征在于,将所述待测流量数据包预处理得到所述第一数据,包括:将所述待测流量数据包去除协议头部信息得到所述第一数据。4.根据权利要求2所述的ROP链的检测方法,其特征在于,所述根据操作系统位数将所述第一数据复制处理为多个第二数据并依据字节位置依次对多个所述第二数据划分处理对应得到多个第一生成数据,包括:根据所述操作系统位数得到分组个数和字节数据;根据所述分组个数将所述第一数据复制得到多个所述第二数据,其中多个所述第二数据对应的数据值相同;获取当前第二数据;根据所述字节数据以及当前字节位置将所述当前第二数据进行划分处理,其中首次处理时对应的所述当前字节位置为1;根据所述字节数据判断所述当前第二数据是否处理完毕;若是,则根据所述字节数据对所述当前第二数据划分处理得到当前第一生成数据,且在所述当前字节位置的基础上增加1得到下一个所述当前字节位置以处理下一个所述当前第二数据并返回至所述获取当前第二数据的步骤;若否,则将所述当前第二数据不满足所述字节数据对应的数据进行丢弃以得到所述当前第一生成数据,且在所述当前字节位置的基础上增加1得到下一个所述当前字节位置以处理下一个所述当前第二数据并返回至所述获取当前第二数据的步骤。5.根据权利要求4所述的ROP链的检测方法,其特征在于,所述Gadget地址空间的确定通过以下步骤:获取Gadget代码段和共享库的内存映射区域对应的虚拟地址信息;在所述虚拟地址信息中搜索目标代码段内存映射的第一地址区域,其中所述目标代码段为.t...
【专利技术属性】
技术研发人员:王剑,张梦杰,黄恺杰,刘星彤,杨刚,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。