一种有效的Return-Oriented-Programming攻击检测方法

发布时间：2019-02-15 03:39

【摘要】：Returned-Oriented-Programming(ROP)攻击能突破传统防御机制如DEP和W"昘.目前ROP攻击检测误报率较高,无法准确区分ROP攻击与正常指令执行.ROP攻击需执行系统调用完成攻击,执行系统调用前寄存器须设置为正确的值,并且每条x86指令对应一个或多个gadget.基于上述特点,提出一种有效的二进制代码级ROP攻击检测方法:截获返回指令并作为起始点计算gadget数目,并在系统调用执行前判断寄存器是否被修改为与其参数类型相同的值.该方法不依赖启发式学习,能准确检测栈溢出的ROP攻击.通过动态插桩工具实现原型系统,对ROP攻击和正常程序进行了测试,实验结果表明系统漏报率和误报率较低,且性能损失较小.
[Abstract]:Returned-Oriented-Programming (ROP) attacks can break through traditional defense mechanisms such as DEP and W "O". At present, the false alarm rate of ROP attack detection is high, it is impossible to accurately distinguish ROP attack from normal instruction execution. ROP attack needs to execute system call to complete attack, and the register must be set to the correct value before executing system call. And each x86 instruction corresponds to one or more gadget. Based on the above characteristics, an effective binary code level ROP attack detection method is proposed: intercepting return instructions, calculating the number of gadget as the starting point, and judging whether the register is modified to the same value as its parameter type before the system call is executed. This method does not rely on heuristic learning and can accurately detect stack overflow ROP attacks. The prototype system is implemented by dynamic pile insertion tool, and the ROP attack and normal program are tested. The experimental results show that the false alarm rate and false alarm rate of the system are low and the performance loss is small.
【作者单位】： 电子科技大学计算机科学与工程学院;
【基金】：保密通信国防科技重点实验室基金项目(9140C1104020903)资助
【分类号】：TP393.08

【参考文献】

相关期刊论文 前2条

1 林志强;王逸;茅兵;谢立;;SafeBird:一种动态和透明的运行时缓冲区溢出防御工具集[J];电子学报;2007年05期

2 韩浩;茅兵;谢立;;针对ROP攻击的动态运行时检测系统[J];计算机工程;2012年04期

相关硕士学位论文 前1条

1 韩浩;ROP攻击及其变种的检测技术[D];南京大学;2011年

【共引文献】

相关期刊论文 前3条

1 陈平;韩浩;沈晓斌;殷新春;茅兵;谢立;;基于动静态程序分析的整形漏洞检测工具[J];电子学报;2010年08期

2 陈平;邢骁;辛知;王逸;茅兵;谢立;;基于封装结构随机化的程序保护方法[J];计算机研究与发展;2011年12期

3 孙峰;;一种基于污点分析的缓冲区溢出检测方法[J];科技视界;2012年24期

相关硕士学位论文 前2条

1 赵起迪;基于leon3处理器的存储器监控模块设计[D];华中科技大学;2011年

2 王乾;基于动态二进制分析的关键函数定位技术研究[D];解放军信息工程大学;2012年

【二级参考文献】

相关期刊论文 前1条

1 房陈;茅兵;谢立;;基于动态染色的内存漏洞定位技术[J];计算机工程;2010年07期

【相似文献】

相关期刊论文 前10条

1 云晓红;;网络数据捕获机制研究[J];黑龙江科技信息;2009年16期

2 闫巧,喻建平,谢维信;基于系统调用的神经网络异常检测技术[J];计算机工程;2001年09期

3 蒋东兴,张亮,徐时新;扩展访问控制保护主机安全[J];网络安全技术与应用;2001年03期

4 阎巧,谢维信;异常检测技术的研究与发展[J];西安电子科技大学学报;2002年01期

5 陈华亭,吴邦欲;基于LKM的RootKit技术[J];计算机工程与科学;2004年02期

6 张衡,张毓森;一种基于LSM的数据源在异常检测中的应用[J];电子科技大学学报;2004年04期

7 党华,张涛,吴灏;Linux系统中基于系统调用序列的病毒检测方法研究[J];计算机工程与应用;2005年09期

8 尚明磊,黄皓;缓冲区溢出攻击的分析与实时检测[J];计算机工程;2005年12期

9 张连杰;赵涛;吴灏;曾勇军;;Linux入侵检测系统安全性分析[J];计算机工程与设计;2006年01期

10 唐洪英;;一种防止缓冲区溢出攻击的新方法[J];微电子学与计算机;2006年04期

相关会议论文 前10条

1 吴瀛;江建慧;;一种基于异常模式的系统调用异常检测[A];第六届中国测试学术会议论文集[C];2010年

2 陈林博;江建慧;张丹青;;基于多版本冗余进程的容侵系统[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年

3 符蓉;徐向阳;王靖;;Linux下基于交叉视图的隐蔽恶意代码检测[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年

4 唐勇;刘玉芳;孔晓峰;;基于Specification的保护Web服务的入侵检测技术研究[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

5 张小强;朱中梁;范平志;;基于SVM和序列互相关特性的入侵检测[A];可持续发展的中国交通——2005全国博士生学术论坛（交通运输工程学科）论文集（下册）[C];2005年

6 刘岩;王箭;;LSM实现机制的研究[A];2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C];2009年

7 刘爽;路莹;马腾;许镇;;文件访问跟踪控制实现方法的研究[A];中国通信学会第六届学术年会论文集（上）[C];2009年

8 戴新宇;张淼;徐国爱;李忠献;;一种基于xen半虚拟化技术的沙盒模型的设计与实现[A];中国通信学会第六届学术年会论文集（下）[C];2009年

9 杨卫军;张舒;胡光俊;;基于攻击树模型的木马检测方法[A];第26次全国计算机安全学术交流会论文集[C];2011年

10 李文庆;魏立峰;杨哲;;可信KYLIN安全审计管理研究[A];全国第20届计算机技术与应用学术会议（CACIS·2009）暨全国第1届安全关键技术与应用学术会议论文集（上册）[C];2009年

相关重要报纸文章 前10条

1 国防科大 罗军;Linux的安全机制[N];计算机世界;2001年

2 本报记者 侯闯;Linux安全无神话[N];计算机世界;2004年

3 郑林;保护关键服务器[N];网络世界;2002年

4 静;关注中小企业安全[N];中国电脑教育报;2002年

5 ;数字免疫工具即将问世[N];网络世界;2004年

6 ;云安全性——为云服务消除后顾之忧[N];计算机世界;2009年

7 陕西 Warton;走近BREW手机程序开发[N];电脑报;2003年

8 王强;UNIX中运用Socket的网络编程[N];中国计算机报;2002年

9 ;联想网御入侵检测系统[N];中国计算机报;2004年

10 穆文烨;监视、控制计算机的使用[N];计算机世界;2001年

相关博士学位论文 前10条

1 徐明;基于系统调用的异常入侵检测技术及IDS扩展功能的研究[D];浙江大学;2003年

2 张相锋;安全审计与基于审计的入侵检测[D];中国科学院研究生院（软件研究所）;2004年

3 张琨;基于生物免疫学的入侵检测系统的研究与实现[D];南京理工大学;2003年

4 苏璞睿;基于特权进程行为的入侵检测方法研究[D];中国科学院研究生院（软件研究所）;2005年

5 田新广;基于主机的入侵检测方法研究[D];国防科学技术大学;2005年

6 李钟华;网络协同入侵响应与自主事故快速恢复技术研究[D];西北工业大学;2006年

7 夏洪涛;SSL VPN中非对称隧道等若干关键技术的研究[D];华中科技大学;2007年

8 耿立中;基于入侵检测的附网存储设备安全关键技术研究[D];清华大学;2010年

9 刘雪飞;数据挖掘技术在入侵检测中的应用研究[D];南京理工大学;2005年

10 孔德光;结合语义的统计机器学习方法在代码安全中应用研究[D];中国科学技术大学;2010年

相关硕士学位论文 前10条

1 张林;基于Euclidean距离的入侵检测技术研究[D];西南农业大学;2004年

2 曹登元;针对应用层未知攻击的蜜罐系统的研究与实现[D];江苏大学;2005年

3 崔甲;Rootkit的分类方法和检测技术研究[D];电子科技大学;2007年

4 徐梦茗;基于微通信元系统构架的安全主机的设计和实现[D];电子科技大学;2005年

5 韩浩;ROP攻击及其变种的检测技术[D];南京大学;2011年

6 高健培;一种基于系统调用参数的入侵检测方法的研究[D];燕山大学;2010年

7 郑海祥;系统调用在主机入侵检测中的研究与应用[D];广东工业大学;2011年

8 赵丽;基于系统调用的计算机免疫系统研究[D];河北大学;2004年

9 刘晖;基于系统调用状态机的异常入侵检测方法[D];浙江大学;2004年

10 冯娟;安全检测引擎的设计与实现[D];上海交通大学;2010年

，

本文编号：2422923