| 发明名称 | 一种基于RET指令与JMP指令的ROP攻击检测方法 | ||
| 摘要 | 一种基于RET指令与JMP指令的ROP攻击检测方法,本发明涉及软件安全领域,其旨在解决现有应对ROP攻击的方法只有一种类型或一个步骤的ROP攻击检测验证,不能够充分地识别ROP攻击指令的本质性特征,不能够检测到深度隐藏的ROP攻击指令,并存在匹配精度低,误判率高且检测通用性差等技术问题。采用插桩工具跟踪目标程序,匹配相应指令,得到指令流,以此为依据,将疑似符合ROP攻击特征的指令加入循环队列。利用数学方法,对循环队列中的指令进行进一步判定,根据输出结果与ROP攻击特征进行再一次匹配,由此判定ROP攻击。本发明用于ROP攻击的全面检测。 | ||
| 申请公布号 | CN105138903A | 申请公布日期 | 2015.12.09 |
| 申请号 | CN201510498408.0 | 申请日期 | 2015.08.14 |
| 申请人 | 电子科技大学 | 发明人 | 张小松;王颖;牛伟纳;陈瑞东;王东;俞工淳;漆艳梅;樊添 |
| 分类号 | G06F21/52(2013.01)I | 主分类号 | G06F21/52(2013.01)I |
| 代理机构 | 成都弘毅天承知识产权代理有限公司 51230 | 代理人 | 杨保刚 |
| 主权项 | 一种基于RET指令与JMP指令的ROP攻击检测方法,其特征在于,包括创建循环队列;利用二进制插桩工具启用目标程序;跟踪目标程序并进行指令匹配;加载对应指令的检测模块以及检测模块生成疑似ROP攻击指令;将疑似ROP攻击指令加入循环队列并判断其是否超出阀值。 | ||
| 地址 | 611731 四川省成都市高新区西源大道2006号 | ||