基于API調(diào)用行為特征的ROP檢測機制.pdf

1、計算機產(chǎn)業(yè)的迅速發(fā)展對人類的工作、生活、學習產(chǎn)生了深遠的影響，推動了社會的飛速發(fā)展。與此同時，依附于計算機之上的軟件安全問題也變得日益突出和嚴重。
　　ROP(Return Oriented Programming)是當前軟件漏洞攻擊的常用技術，其通過拼接程序中已有的短的指令片段來實現(xiàn)控制流的劫持，從而使程序沿著攻擊者意圖執(zhí)行。針對ROP攻擊，研究者提出各種各樣的保護方法，CFI(Control Flow Integrity)是當

2、前最有效的一種防護技術。它能夠非常高效的應對ROP攻擊，但是其存在運行時間開銷大、實現(xiàn)復雜、易被繞過的缺點。針對這些缺點，本文提出了一種基于API(Application Programming Interface)調(diào)用行為特征的ROP檢測機制，該機制通過對敏感API函數(shù)地調(diào)用過程進行合法性檢測，從而避免傳統(tǒng)的針對大量間接分支的檢測，有效地降低運行時開銷;通過對攻擊者可用的Gadgets進行提取、檢測，從而避免CFG構(gòu)建，降低實現(xiàn)復雜度

3、;通過對API調(diào)用特征信息和API調(diào)用上下文信息檢測，保證程序的安全性。
　　本文的主要研究工作包括:
　　1)介紹了ROP攻擊技術和已有的針對ROP的防護技術。前者主要介紹ROP攻擊的發(fā)展歷程，并詳細闡釋其攻擊原理;后者對當前防護技術的優(yōu)缺點進行介紹，并引出本文的基于API調(diào)用行為特征的ROP檢測機制。
　　2)為了有效的應對ROP，本文提出了一種新型的ROP檢測機制。該機制主要包含兩個方面，分別是基于API調(diào)用行為

4、特征的ROP檢測和基于API調(diào)用上下文信息的ROP檢測。前者利用API調(diào)用行為特征，通過監(jiān)控判斷API函數(shù)在調(diào)用之前是否存在調(diào)用Gadget實現(xiàn)參數(shù)加載的行為，從而判斷程序是否受到ROP攻擊;后者是對前者的補充，因為在某些特殊情況下攻擊者可能不需要調(diào)用Gadget加載參數(shù)也可以成功的實現(xiàn)API函數(shù)的調(diào)用。
　　3)本文設計并實現(xiàn)了一個簡單的自動化ROP檢測系統(tǒng)，并通過一系列的實驗對軟件的保護效果進行分析。最后的實驗表明，本方法在增