【摘要】：Returned-Oriented-Programming(ROP)攻擊能突破傳統(tǒng)防御機制如DEP和W"昘.目前ROP攻擊檢測誤報率較高,無法準確區(qū)分ROP攻擊與正常指令執(zhí)行.ROP攻擊需執(zhí)行系統(tǒng)調(diào)用完成攻擊,執(zhí)行系統(tǒng)調(diào)用前寄存器須設置為正確的值,并且每條x86指令對應一個或多個gadget.基于上述特點,提出一種有效的二進制代碼級ROP攻擊檢測方法:截獲返回指令并作為起始點計算gadget數(shù)目,并在系統(tǒng)調(diào)用執(zhí)行前判斷寄存器是否被修改為與其參數(shù)類型相同的值.該方法不依賴啟發(fā)式學習,能準確檢測棧溢出的ROP攻擊.通過動態(tài)插樁工具實現(xiàn)原型系統(tǒng),對ROP攻擊和正常程序進行了測試,實驗結(jié)果表明系統(tǒng)漏報率和誤報率較低,且性能損失較小.
[Abstract]:Returned-Oriented-Programming (ROP) attacks can break through traditional defense mechanisms such as DEP and W "O". At present, the false alarm rate of ROP attack detection is high, it is impossible to accurately distinguish ROP attack from normal instruction execution. ROP attack needs to execute system call to complete attack, and the register must be set to the correct value before executing system call. And each x86 instruction corresponds to one or more gadget. Based on the above characteristics, an effective binary code level ROP attack detection method is proposed: intercepting return instructions, calculating the number of gadget as the starting point, and judging whether the register is modified to the same value as its parameter type before the system call is executed. This method does not rely on heuristic learning and can accurately detect stack overflow ROP attacks. The prototype system is implemented by dynamic pile insertion tool, and the ROP attack and normal program are tested. The experimental results show that the false alarm rate and false alarm rate of the system are low and the performance loss is small.
【作者單位】： 電子科技大學計算機科學與工程學院;
【基金】：保密通信國防科技重點實驗室基金項目(9140C1104020903)資助
【分類號】：TP393.08

【參考文獻】

相關期刊論文 前2條

1 林志強;王逸;茅兵;謝立;;SafeBird:一種動態(tài)和透明的運行時緩沖區(qū)溢出防御工具集[J];電子學報;2007年05期

2 韓浩;茅兵;謝立;;針對ROP攻擊的動態(tài)運行時檢測系統(tǒng)[J];計算機工程;2012年04期

相關碩士學位論文 前1條

1 韓浩;ROP攻擊及其變種的檢測技術(shù)[D];南京大學;2011年

【共引文獻】

相關期刊論文 前3條

1 陳平;韓浩;沈曉斌;殷新春;茅兵;謝立;;基于動靜態(tài)程序分析的整形漏洞檢測工具[J];電子學報;2010年08期

2 陳平;邢驍;辛知;王逸;茅兵;謝立;;基于封裝結(jié)構(gòu)隨機化的程序保護方法[J];計算機研究與發(fā)展;2011年12期

3 孫峰;;一種基于污點分析的緩沖區(qū)溢出檢測方法[J];科技視界;2012年24期

相關碩士學位論文 前2條

1 趙起迪;基于leon3處理器的存儲器監(jiān)控模塊設計[D];華中科技大學;2011年

2 王乾;基于動態(tài)二進制分析的關鍵函數(shù)定位技術(shù)研究[D];解放軍信息工程大學;2012年

【二級參考文獻】

相關期刊論文 前1條

1 房陳;茅兵;謝立;;基于動態(tài)染色的內(nèi)存漏洞定位技術(shù)[J];計算機工程;2010年07期

【相似文獻】

相關期刊論文 前10條

1 云曉紅;;網(wǎng)絡數(shù)據(jù)捕獲機制研究[J];黑龍江科技信息;2009年16期

2 閆巧,喻建平,謝維信;基于系統(tǒng)調(diào)用的神經(jīng)網(wǎng)絡異常檢測技術(shù)[J];計算機工程;2001年09期

3 蔣東興,張亮,徐時新;擴展訪問控制保護主機安全[J];網(wǎng)絡安全技術(shù)與應用;2001年03期

4 閻巧,謝維信;異常檢測技術(shù)的研究與發(fā)展[J];西安電子科技大學學報;2002年01期

5 陳華亭,吳邦欲;基于LKM的RootKit技術(shù)[J];計算機工程與科學;2004年02期

6 張衡,張毓森;一種基于LSM的數(shù)據(jù)源在異常檢測中的應用[J];電子科技大學學報;2004年04期

7 黨華,張濤,吳灝;Linux系統(tǒng)中基于系統(tǒng)調(diào)用序列的病毒檢測方法研究[J];計算機工程與應用;2005年09期

8 尚明磊,黃皓;緩沖區(qū)溢出攻擊的分析與實時檢測[J];計算機工程;2005年12期

9 張連杰;趙濤;吳灝;曾勇軍;;Linux入侵檢測系統(tǒng)安全性分析[J];計算機工程與設計;2006年01期

10 唐洪英;;一種防止緩沖區(qū)溢出攻擊的新方法[J];微電子學與計算機;2006年04期

相關會議論文 前10條

1 吳瀛;江建慧;;一種基于異常模式的系統(tǒng)調(diào)用異常檢測[A];第六屆中國測試學術(shù)會議論文集[C];2010年

2 陳林博;江建慧;張丹青;;基于多版本冗余進程的容侵系統(tǒng)[A];第十四屆全國容錯計算學術(shù)會議(CFTC'2011)論文集[C];2011年

3 符蓉;徐向陽;王靖;;Linux下基于交叉視圖的隱蔽惡意代碼檢測[A];第八屆全國信息隱藏與多媒體安全學術(shù)大會湖南省計算機學會第十一屆學術(shù)年會論文集[C];2009年

4 唐勇;劉玉芳;孔曉峰;;基于Specification的保護Web服務的入侵檢測技術(shù)研究[A];第一屆全國Web信息系統(tǒng)及其應用會議（WISA2004）論文集[C];2004年

5 張小強;朱中梁;范平志;;基于SVM和序列互相關特性的入侵檢測[A];可持續(xù)發(fā)展的中國交通——2005全國博士生學術(shù)論壇（交通運輸工程學科）論文集（下冊）[C];2005年

6 劉巖;王箭;;LSM實現(xiàn)機制的研究[A];2009通信理論與技術(shù)新發(fā)展——第十四屆全國青年通信學術(shù)會議論文集[C];2009年

7 劉爽;路瑩;馬騰;許鎮(zhèn);;文件訪問跟蹤控制實現(xiàn)方法的研究[A];中國通信學會第六屆學術(shù)年會論文集（上）[C];2009年

8 戴新宇;張淼;徐國愛;李忠獻;;一種基于xen半虛擬化技術(shù)的沙盒模型的設計與實現(xiàn)[A];中國通信學會第六屆學術(shù)年會論文集（下）[C];2009年

9 楊衛(wèi)軍;張舒;胡光俊;;基于攻擊樹模型的木馬檢測方法[A];第26次全國計算機安全學術(shù)交流會論文集[C];2011年

10 李文慶;魏立峰;楊哲;;可信KYLIN安全審計管理研究[A];全國第20屆計算機技術(shù)與應用學術(shù)會議（CACIS·2009）暨全國第1屆安全關鍵技術(shù)與應用學術(shù)會議論文集（上冊）[C];2009年

相關重要報紙文章 前10條

1 國防科大 羅軍;Linux的安全機制[N];計算機世界;2001年

2 本報記者 侯闖;Linux安全無神話[N];計算機世界;2004年

3 鄭林;保護關鍵服務器[N];網(wǎng)絡世界;2002年

4 靜;關注中小企業(yè)安全[N];中國電腦教育報;2002年

5 ;數(shù)字免疫工具即將問世[N];網(wǎng)絡世界;2004年

6 ;云安全性——為云服務消除后顧之憂[N];計算機世界;2009年

7 陜西 Warton;走近BREW手機程序開發(fā)[N];電腦報;2003年

8 王強;UNIX中運用Socket的網(wǎng)絡編程[N];中國計算機報;2002年

9 ;聯(lián)想網(wǎng)御入侵檢測系統(tǒng)[N];中國計算機報;2004年

10 穆文燁;監(jiān)視、控制計算機的使用[N];計算機世界;2001年

相關博士學位論文 前10條

1 徐明;基于系統(tǒng)調(diào)用的異常入侵檢測技術(shù)及IDS擴展功能的研究[D];浙江大學;2003年

2 張相鋒;安全審計與基于審計的入侵檢測[D];中國科學院研究生院（軟件研究所）;2004年

3 張琨;基于生物免疫學的入侵檢測系統(tǒng)的研究與實現(xiàn)[D];南京理工大學;2003年

4 蘇璞睿;基于特權(quán)進程行為的入侵檢測方法研究[D];中國科學院研究生院（軟件研究所）;2005年

5 田新廣;基于主機的入侵檢測方法研究[D];國防科學技術(shù)大學;2005年

6 李鐘華;網(wǎng)絡協(xié)同入侵響應與自主事故快速恢復技術(shù)研究[D];西北工業(yè)大學;2006年

7 夏洪濤;SSL VPN中非對稱隧道等若干關鍵技術(shù)的研究[D];華中科技大學;2007年

8 耿立中;基于入侵檢測的附網(wǎng)存儲設備安全關鍵技術(shù)研究[D];清華大學;2010年

9 劉雪飛;數(shù)據(jù)挖掘技術(shù)在入侵檢測中的應用研究[D];南京理工大學;2005年

10 孔德光;結(jié)合語義的統(tǒng)計機器學習方法在代碼安全中應用研究[D];中國科學技術(shù)大學;2010年

相關碩士學位論文 前10條

1 張林;基于Euclidean距離的入侵檢測技術(shù)研究[D];西南農(nóng)業(yè)大學;2004年

2 曹登元;針對應用層未知攻擊的蜜罐系統(tǒng)的研究與實現(xiàn)[D];江蘇大學;2005年

3 崔甲;Rootkit的分類方法和檢測技術(shù)研究[D];電子科技大學;2007年

4 徐夢茗;基于微通信元系統(tǒng)構(gòu)架的安全主機的設計和實現(xiàn)[D];電子科技大學;2005年

5 韓浩;ROP攻擊及其變種的檢測技術(shù)[D];南京大學;2011年

6 高健培;一種基于系統(tǒng)調(diào)用參數(shù)的入侵檢測方法的研究[D];燕山大學;2010年

7 鄭海祥;系統(tǒng)調(diào)用在主機入侵檢測中的研究與應用[D];廣東工業(yè)大學;2011年

8 趙麗;基于系統(tǒng)調(diào)用的計算機免疫系統(tǒng)研究[D];河北大學;2004年

9 劉暉;基于系統(tǒng)調(diào)用狀態(tài)機的異常入侵檢測方法[D];浙江大學;2004年

10 馮娟;安全檢測引擎的設計與實現(xiàn)[D];上海交通大學;2010年

，

本文編號：2422923