基于API調(diào)用行為特征的ROP檢測機(jī)制.pdf

1、計算機(jī)產(chǎn)業(yè)的迅速發(fā)展對人類的工作、生活、學(xué)習(xí)產(chǎn)生了深遠(yuǎn)的影響，推動了社會的飛速發(fā)展。與此同時，依附于計算機(jī)之上的軟件安全問題也變得日益突出和嚴(yán)重。
　　ROP(Return Oriented Programming)是當(dāng)前軟件漏洞攻擊的常用技術(shù)，其通過拼接程序中已有的短的指令片段來實現(xiàn)控制流的劫持，從而使程序沿著攻擊者意圖執(zhí)行。針對ROP攻擊，研究者提出各種各樣的保護(hù)方法，CFI(Control Flow Integrity)是當(dāng)

2、前最有效的一種防護(hù)技術(shù)。它能夠非常高效的應(yīng)對ROP攻擊，但是其存在運行時間開銷大、實現(xiàn)復(fù)雜、易被繞過的缺點。針對這些缺點，本文提出了一種基于API(Application Programming Interface)調(diào)用行為特征的ROP檢測機(jī)制，該機(jī)制通過對敏感API函數(shù)地調(diào)用過程進(jìn)行合法性檢測，從而避免傳統(tǒng)的針對大量間接分支的檢測，有效地降低運行時開銷;通過對攻擊者可用的Gadgets進(jìn)行提取、檢測，從而避免CFG構(gòu)建，降低實現(xiàn)復(fù)雜度

3、;通過對API調(diào)用特征信息和API調(diào)用上下文信息檢測，保證程序的安全性。
　　本文的主要研究工作包括:
　　1)介紹了ROP攻擊技術(shù)和已有的針對ROP的防護(hù)技術(shù)。前者主要介紹ROP攻擊的發(fā)展歷程，并詳細(xì)闡釋其攻擊原理;后者對當(dāng)前防護(hù)技術(shù)的優(yōu)缺點進(jìn)行介紹，并引出本文的基于API調(diào)用行為特征的ROP檢測機(jī)制。
　　2)為了有效的應(yīng)對ROP，本文提出了一種新型的ROP檢測機(jī)制。該機(jī)制主要包含兩個方面，分別是基于API調(diào)用行為

4、特征的ROP檢測和基于API調(diào)用上下文信息的ROP檢測。前者利用API調(diào)用行為特征，通過監(jiān)控判斷API函數(shù)在調(diào)用之前是否存在調(diào)用Gadget實現(xiàn)參數(shù)加載的行為，從而判斷程序是否受到ROP攻擊;后者是對前者的補(bǔ)充，因為在某些特殊情況下攻擊者可能不需要調(diào)用Gadget加載參數(shù)也可以成功的實現(xiàn)API函數(shù)的調(diào)用。
　　3)本文設(shè)計并實現(xiàn)了一個簡單的自動化ROP檢測系統(tǒng)，并通過一系列的實驗對軟件的保護(hù)效果進(jìn)行分析。最后的實驗表明，本方法在增