基于API調(diào)用行為特征的ROP檢測(cè)機(jī)制.pdf

1、計(jì)算機(jī)產(chǎn)業(yè)的迅速發(fā)展對(duì)人類的工作、生活、學(xué)習(xí)產(chǎn)生了深遠(yuǎn)的影響，推動(dòng)了社會(huì)的飛速發(fā)展。與此同時(shí)，依附于計(jì)算機(jī)之上的軟件安全問題也變得日益突出和嚴(yán)重。
　　ROP(Return Oriented Programming)是當(dāng)前軟件漏洞攻擊的常用技術(shù)，其通過拼接程序中已有的短的指令片段來實(shí)現(xiàn)控制流的劫持，從而使程序沿著攻擊者意圖執(zhí)行。針對(duì)ROP攻擊，研究者提出各種各樣的保護(hù)方法，CFI(Control Flow Integrity)是當(dāng)

2、前最有效的一種防護(hù)技術(shù)。它能夠非常高效的應(yīng)對(duì)ROP攻擊，但是其存在運(yùn)行時(shí)間開銷大、實(shí)現(xiàn)復(fù)雜、易被繞過的缺點(diǎn)。針對(duì)這些缺點(diǎn)，本文提出了一種基于API(Application Programming Interface)調(diào)用行為特征的ROP檢測(cè)機(jī)制，該機(jī)制通過對(duì)敏感API函數(shù)地調(diào)用過程進(jìn)行合法性檢測(cè)，從而避免傳統(tǒng)的針對(duì)大量間接分支的檢測(cè)，有效地降低運(yùn)行時(shí)開銷;通過對(duì)攻擊者可用的Gadgets進(jìn)行提取、檢測(cè)，從而避免CFG構(gòu)建，降低實(shí)現(xiàn)復(fù)雜度

3、;通過對(duì)API調(diào)用特征信息和API調(diào)用上下文信息檢測(cè)，保證程序的安全性。
　　本文的主要研究工作包括:
　　1)介紹了ROP攻擊技術(shù)和已有的針對(duì)ROP的防護(hù)技術(shù)。前者主要介紹ROP攻擊的發(fā)展歷程，并詳細(xì)闡釋其攻擊原理;后者對(duì)當(dāng)前防護(hù)技術(shù)的優(yōu)缺點(diǎn)進(jìn)行介紹，并引出本文的基于API調(diào)用行為特征的ROP檢測(cè)機(jī)制。
　　2)為了有效的應(yīng)對(duì)ROP，本文提出了一種新型的ROP檢測(cè)機(jī)制。該機(jī)制主要包含兩個(gè)方面，分別是基于API調(diào)用行為

4、特征的ROP檢測(cè)和基于API調(diào)用上下文信息的ROP檢測(cè)。前者利用API調(diào)用行為特征，通過監(jiān)控判斷API函數(shù)在調(diào)用之前是否存在調(diào)用Gadget實(shí)現(xiàn)參數(shù)加載的行為，從而判斷程序是否受到ROP攻擊;后者是對(duì)前者的補(bǔ)充，因?yàn)樵谀承┨厥馇闆r下攻擊者可能不需要調(diào)用Gadget加載參數(shù)也可以成功的實(shí)現(xiàn)API函數(shù)的調(diào)用。
　　3)本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的自動(dòng)化ROP檢測(cè)系統(tǒng)，并通過一系列的實(shí)驗(yàn)對(duì)軟件的保護(hù)效果進(jìn)行分析。最后的實(shí)驗(yàn)表明，本方法在增