路由器入侵检测方法技术

本发明专利技术属于信息安全技术领域，公开了一种路由器入侵检测方法

【技术实现步骤摘要】
路由器入侵检测方法、装置、设备及存储介质


[0001]本专利技术涉及信息安全
，尤其涉及一种路由器入侵检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]大型路由器作为信息化建设的重要枢纽，其安全性处于极其重要的地位
。
一旦被攻击者破坏或控制，将会导致关键时刻信息中断甚至关键数据被攻击者盗窃
。
因此针对大中型路由器入侵检测具有重大意义
。
[0003]现有的恶意程序会利用栈溢出漏洞对路由器进行入侵，从而劫持路由器固件的控制流，之后跳转到攻击者构造好的
payload
或者
ROP
程序执行
。
由于在大型路由器固件操作系统中往往没有
NX
等安全机制，因此栈溢出漏洞的利用成功率非常高，危害性也非常大
。
[0004]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术
。

技术实现思路

[0005]本专利技术的主要目的在于提供一种路由器入侵检测方法
、
装置
、
设备及存储介质，旨在解决路由器容易被恶意程序利用栈溢出漏洞入侵的技术问题
。
[0006]为实现上述目的，本专利技术提供了一种路由器入侵检测方法，所述方法包括以下步骤：
[0007]判断目标路由器中生成的函数调用指令是否为函数返回指令；
[0008]若所述函数调用指令为函数返回指令，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值；
[0009]读取所述影子链接栈中所述更新后的上层值对应的目标地址，并根据所述目标地址检测所述目标路由器是否受到入侵
。
[0010]可选的，所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤之后，还包括：
[0011]若所述函数调用指令不为函数返回指令，则对影子链接栈中记录的函数跳转次数进行更新，并对所述影子链接栈中记录的影子上层值进行递增处理，获得处理后的上层值；
[0012]获取所述函数调用指令对应的跳转地址；
[0013]根据所述跳转地址及所述处理后的上层值对所述影子链接栈进行更新，并返回所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤
。
[0014]可选的，所述若所述函数调用指令为函数返回指令，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值的步骤，包括：
[0015]若所述函数调用指令为函数返回指令，则读取所述函数调用指令中的指令参数；
[0016]若所述指令参数与目标参数一致，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值
。
[0017]可选的，所述若所述指令参数与目标参数一致，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值的步骤，包括：
[0018]若所述指令参数与目标参数一致，则检测影子链接栈中记录的影子上层值是否大于预设阈值；
[0019]若影子链接栈中记录的影子上层值大于预设阈值，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值
。
[0020]可选的，所述若所述函数调用指令为函数返回指令，则读取所述函数调用指令中的指令参数的步骤之后，还包括：
[0021]若所述指令参数与目标参数不一致，则对影子链接栈中记录的函数跳转次数进行更新，并对所述影子链接栈中记录的影子上层值进行递增处理，获得处理后的上层值；
[0022]获取所述函数调用指令对应的跳转地址；
[0023]根据所述跳转地址及所述处理后的上层值对所述影子链接栈进行更新，并返回所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤
。
[0024]可选的，所述读取所述影子链接栈中所述更新后的上层值对应的目标地址的步骤，包括：
[0025]读取所述影子链接栈对应的栈最大层数；
[0026]根据所述更新后的上层值及所述栈最大层数确定待读取下标；
[0027]根据所述待读取下标从所述影子链接栈中读取所述更新后的上层值对应的目标地址
。
[0028]可选的，所述根据所述更新后的上层值及所述栈最大层数确定数组下标的步骤之前，还包括：
[0029]读取所述影子链接栈中记录的函数跳转次数；
[0030]计算所述函数跳转次数与所述更新后的上层值的差值，获得目标差值；
[0031]若所述目标差值小于或等于所述栈最大层数，则执行所述根据所述更新后的上层值及所述栈最大层数确定数组下标的步骤
。
[0032]可选的，所述计算所述函数跳转次数与所述更新后的上层值的差值，获得目标差值的步骤之后，还包括：
[0033]若所述目标差值大于所述栈最大层数，则获取预设初始值；
[0034]根据所述预设初始值对所述影子链接栈进行初始化
。
[0035]可选的，所述栈最大层数为十六进制数据；
[0036]所述根据所述更新后的上层值及所述栈最大层数确定待读取下标的步骤，包括：
[0037]对所述更新后的上层值与所述栈最大层数进行位与计算，获得待读取下标
。
[0038]可选的，所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤，包括：
[0039]实时监测目标路由器中的指令生成；
[0040]在监测到目标路由器中生成函数调用指令时，读取所述函数调用指令的指令标识符；
[0041]若所述指令标识符为第一类型标识符，则判定所述函数调用指令为函数返回指令
。
[0042]可选的，所述根据所述目标地址检测所述目标路由器是否受到入侵的步骤，包括：
[0043]获取所述函数调用指令对应的函数返回地址；
[0044]将所述函数返回地址与所述目标地址进行比较；
[0045]若所述函数返回地址与所述目标地址不一致，则判定所述目标路由器受到入侵
。
[0046]此外，为实现上述目的，本专利技术还提出一种路由器入侵检测装置，所述路由器入侵检测装置包括以下模块：
[0047]指令处理模块，用于判断目标路由器中生成的函数调用指令是否为函数返回指令；
[0048]数据更新模块，用于若所述函数调用指令为函数返回指令，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值；
[0049]入侵检测模块，用于读取所述影子链接栈中所述更新后的上层值对应的目标地址，并根据所述目标地址检测所述目标路由器是否受到入侵
。
[0050]可选的，所述数据更新模块，还用于若所述函数调用指令不为函数返回指令，则对影子链接栈中记录的函数跳转次数进行更新，并对所述影子链接栈中记录的影子上层值进行递增处理，获得处理后的上层值；获取所述函数调用指令对应的跳转地址；根据所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种路由器入侵检测方法，其特征在于，所述路由器入侵检测方法包括以下步骤：判断目标路由器中生成的函数调用指令是否为函数返回指令；若所述函数调用指令为函数返回指令，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值；读取所述影子链接栈中所述更新后的上层值对应的目标地址，并根据所述目标地址检测所述目标路由器是否受到入侵
。2.
如权利要求1所述的路由器入侵检测方法，其特征在于，所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤之后，还包括：若所述函数调用指令不为函数返回指令，则对影子链接栈中记录的函数跳转次数进行更新，并对所述影子链接栈中记录的影子上层值进行递增处理，获得处理后的上层值；获取所述函数调用指令对应的跳转地址；根据所述跳转地址及所述处理后的上层值对所述影子链接栈进行更新，并返回所述判断目标路由器中生成的函数调用指令是否为函数返回指令的步骤
。3.
如权利要求1所述的路由器入侵检测方法，其特征在于，所述若所述函数调用指令为函数返回指令，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值的步骤，包括：若所述函数调用指令为函数返回指令，则读取所述函数调用指令中的指令参数；若所述指令参数与目标参数一致，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值
。4.
如权利要求3所述的路由器入侵检测方法，其特征在于，所述若所述指令参数与目标参数一致，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值的步骤，包括：若所述指令参数与目标参数一致，则检测影子链接栈中记录的影子上层值是否大于预设阈值；若影子链接栈中记录的影子上层值大于预设阈值，则对影子链接栈中记录的影子上层值进行更新，获得更新后的上层值
。5.
如权利要求3所述的路由器入侵检测方法，其特征在于，所述若所述函数调用指令为函数返回指令，则读取所述函数调用指令中的指令参数的步骤之后，还包括：若所述指令参数与目标参数不一致，则对影子链接栈中记录的函数跳转次数进行更新，并对所述影子链接栈中记录的影子上层值进...

【专利技术属性】
技术研发人员：黄绍莽，潘剑锋，
申请(专利权)人：三六零数字安全科技集团有限公司，
类型：发明
国别省市：