发明名称 |
一种基于RET指令与JMP指令的ROP攻击检测方法 |
摘要 |
一种基于RET指令与JMP指令的ROP攻击检测方法,本发明涉及软件安全领域,其旨在解决现有应对ROP攻击的方法只有一种类型或一个步骤的ROP攻击检测验证,不能够充分地识别ROP攻击指令的本质性特征,不能够检测到深度隐藏的ROP攻击指令,并存在匹配精度低,误判率高且检测通用性差等技术问题。采用插桩工具跟踪目标程序,匹配相应指令,得到指令流,以此为依据,将疑似符合ROP攻击特征的指令加入循环队列。利用数学方法,对循环队列中的指令进行进一步判定,根据输出结果与ROP攻击特征进行再一次匹配,由此判定ROP攻击。本发明用于ROP攻击的全面检测。 |
申请公布号 |
CN105138903A |
申请公布日期 |
2015.12.09 |
申请号 |
CN201510498408.0 |
申请日期 |
2015.08.14 |
申请人 |
电子科技大学 |
发明人 |
张小松;王颖;牛伟纳;陈瑞东;王东;俞工淳;漆艳梅;樊添 |
分类号 |
G06F21/52(2013.01)I |
主分类号 |
G06F21/52(2013.01)I |
代理机构 |
成都弘毅天承知识产权代理有限公司 51230 |
代理人 |
杨保刚 |
主权项 |
一种基于RET指令与JMP指令的ROP攻击检测方法,其特征在于,包括创建循环队列;利用二进制插桩工具启用目标程序;跟踪目标程序并进行指令匹配;加载对应指令的检测模块以及检测模块生成疑似ROP攻击指令;将疑似ROP攻击指令加入循环队列并判断其是否超出阀值。 |
地址 |
611731 四川省成都市高新区西源大道2006号 |