本发明专利技术公开了一种ROP流量检测方法、装置、设备及计算机可读存储介质,应用于网络流量检测领域。该方法包括:获取待检测流量;计算待检测流量对应的状态跳转序列集;调用有限状态机对状态跳转序列集进行处理,以得到待检测流量对应的检测评估值;根据检测评估值确定待检测流量是否为ROP流量。本发明专利技术采用字节序列模式提取出ROP流量的字节跳转特征,可以实现对ROP流量的静态检测,相较于现有的动态检测方法,本发明专利技术不依赖于目标程序的执行环境,适用范围广,并且本发明专利技术无需记录任何地址信息或使用任何反汇编工具,相较于现有的静态检测方法,本发明专利技术实现更为简单且具有极小的内存开销。发明专利技术实现更为简单且具有极小的内存开销。发明专利技术实现更为简单且具有极小的内存开销。
【技术实现步骤摘要】
一种ROP流量检测方法、装置、设备及计算机可读存储介质
[0001]本专利技术涉及网络流量检测领域,特别涉及一种ROP流量检测方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]现有的对ROP流量(Return Oriented Programming,返回导向式编程)进行检测的方法由于需要特定的目标环境才可以进行检测,使得在对流量进行检测时,需要预先存储大量目标库、地址信息等汇编信息,使得进行ROP流量检测时占用的内存较大,例如使用硬件性能计数器对ROP进行攻击检测时,需要对程序运行过程进行监控,检测过程较为复杂且与程序的执行环境紧密相关,局限性较大。因此,如何在进行ROP流量检测时,减少占用的内存空间是本领域技术人员解决的技术问题。
技术实现思路
[0003]有鉴于此,本专利技术的目的在于提供ROP流量检测方法,解决了现有技术中对ROP流量进行检测时占用空间较大的问题。
[0004]为解决上述技术问题,本专利技术提供了一种ROP流量检测方法,包括:获取待检测流量;计算所述待检测流量对应的状态跳转序列集;调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值;根据所述检测评估值确定所述待检测流量是否为ROP流量;所述调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值,包括:调用所述有限状态机计算所述状态跳转序列集对应的多个字节序列模式量化值;其中,所述字节序列模式量化值为;s表示字节序列,表示状态跳转权重,N表示所述字节序列发生N次状态跳转,表示激活函数;计算所述多个字节序列模式量化值中的最大值,将所述最大值作为所述检测评估值。
[0005]可选的,所述计算所述待检测流量对应的状态跳转序列集,包括:对所述待检测流量进行四通道采样,得到多个待检测字节序列;计算每个待检测字节序列对应的状态跳转序列,以得到所述状态跳转序列集。
[0006]可选的,所述ROP流量检测方法,还包括:采集ROP流量和非ROP流量;对所述ROP流量和所述非ROP流量进行预处理,得到训练状态跳转序列集;
根据所述训练状态跳转序列集,迭代训练所述有限状态机。
[0007]可选的,所述根据所述训练状态跳转序列集,迭代训练所述有限状态机,包括:根据所述训练状态跳转序列集,应用梯度下降算法迭代训练包括损失函数的所述有限状态机;其中,所述损失函数为,R表示ROP Gadget地址首字节序列的集合,B表示正常流量中随机采样字节序列的集合,所述s表示所述字节序列;将作为所述损失函数的优化目标,得到所述状态跳转权重为所述的所述有限状态机。
[0008]可选的,所述根据所述检测评估值确定所述待检测流量是否为ROP流量,包括:获取预设阈值;当所述检测评估值大于所述预设阈值时,确定所述待检测流量为ROP流量;当所述检测评估值不大于所述预设阈值时,确定所述待检测流量为非ROP流量。
[0009]可选的,所述ROP流量检测方法,还包括:当所述待检测流量为ROP流量时,输出提示信息。
[0010]本专利技术还提供一种ROP流量检测装置,包括:待检测流量获取模块,用于获取待检测流量;状态跳转序列集获取模块,用于计算所述待检测流量对应的状态跳转序列集;检测评估值获取模块,用于调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值;ROP流量确定模块,用于根据所述检测评估值确定所述待检测流量是否为ROP流量;所述检测评估值获取模块,包括:字节序列模式量化值计算单元,用于调用所述有限状态机计算所述状态跳转序列集对应的多个字节序列模式量化值;其中,所述字节序列模式量化值为;s表示字节序列,表示状态跳转权重,N表示所述字节序列发生N次状态跳转,表示激活函数;检测评估值计算单元,用于计算所述多个字节序列模式量化值中的最大值,将所述最大值作为所述检测评估值。
[0011]本专利技术还提供了一种ROP流量检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述的ROP流量检测方法的步骤。
[0012]本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的ROP流量检测方法的步骤。
[0013]可见,本专利技术通过获取待检测流量;计算所述待检测流量对应的状态跳转序列集;
调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值;根据所述检测评估值确定所述待检测流量是否为ROP流量。和现有技术需要配置目标环境进行检测相比,本专利技术提供的ROP流量检测方法,不依靠目标环境,不需要配置目标环境,直接计算待检测流量对应的检测评估值,利用该检测评估值确定待检测流量是否是ROP流量。因此,本专利技术提供的ROP流量检测方法,不需要配置目标环境,也无需记录任何地址信息或使用任何反汇编工具,检测过程简单,并且占用内存也极小。
[0014]此外,本专利技术还提供了一种ROP流量检测装置、设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0016]图1为本专利技术实施例提供的一种ROP流量检测方法的流程图;图2为本专利技术实施例提供的一种状态跳转序列示意图;图3为本专利技术实施例提供的一种有限状态机示意图;图4为本专利技术实施例提供的一种ROP流量检测方法的流程示例图;图5为本专利技术实施例提供的一种ROP流量检测装置的结构示意图;图6为本专利技术实施例提供的一种ROP流量检测设备的结构示意图。
具体实施方式
[0017]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0018]请参考图1,图1为本专利技术实施例提供的ROP流量检测方法。该方法可以包括:S100,获取待检测流量。
[0019]该实施例并不限定获取待检测流量的具体方式。例如,可以获取来自流量收集工具采集的待检测流量,也可以利用流量采集代码获取待检测流量。该实施例并不限定获取待检测流量的时机。例如,可以实时获取待检测流量,或者也可以按预设周期获取待检测流量。该实施例并不限定待检测流量的具体内容。例如,待检测流量可以是ROP(Return Oriented Programming,返回导向式编程)流量,或者待检测流量也可以是非ROP流量。
[0020]S101,计算所待检测流量对应的状态跳转序列集。
[0021]该实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种ROP流量检测方法,其特征在于,包括:获取待检测流量;计算所述待检测流量对应的状态跳转序列集;调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值;根据所述检测评估值确定所述待检测流量是否为ROP流量;其中,所述调用有限状态机对所述状态跳转序列集进行处理,以得到所述待检测流量对应的检测评估值,包括:调用所述有限状态机计算所述状态跳转序列集对应的多个字节序列模式量化值;其中,所述字节序列模式量化值为;s表示字节序列,表示状态跳转权重,N表示所述字节序列发生N次状态跳转,表示激活函数;计算所述多个字节序列模式量化值中的最大值,将所述最大值作为所述检测评估值。2.根据权利要求1所述的ROP流量检测方法,其特征在于,所述计算所述待检测流量对应的状态跳转序列集,包括:对所述待检测流量进行四通道采样,得到多个待检测字节序列;计算每个待检测字节序列对应的状态跳转序列,以得到所述状态跳转序列集。3.根据权利要求1至2任一项所述的ROP流量检测方法,其特征在于,还包括:采集ROP流量和非ROP流量;对所述ROP流量和所述非ROP流量进行预处理,得到训练状态跳转序列集;根据所述训练状态跳转序列集,迭代训练所述有限状态机。4.根据权利要求3所述的ROP流量检测方法,其特征在于,所述根据所述训练状态跳转序列集,迭代训练所述有限状态机,包括:根据所述训练状态跳转序列集,应用梯度下降算法迭代训练包括损失函数的所述有限状态机;其中,所述损失函数为,R表示ROP Gadget地址首字节序列的集合,B表示正常流量中随机采样字节序列的集合,所述s表示所述字节序列;将作为所述损失函数的优化目标,得到所述状态跳转权重为所述的所...
【专利技术属性】
技术研发人员:王剑,黄恺杰,陈炯峄,张梦杰,刘星彤,李瑞林,冯超,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。