锁闭保护:基于程序行为分析的非预期执行攻击阻断

投递恶意代码以调用安全敏感服务是网络攻击中实施窃取、损毁、致瘫攻击的必要行为,使网络空间面临严重威胁。本文将此类攻击称为非预期执行攻击,现有的防御技术难以检测以合法载体实施的这类攻击.本文提出了一种称为锁闭保护结构的安全防护机制,作为现有防御技术的补充和安全底线,是阻断恶意行为实施的最后一道防线.通过分析目标程序针对安全敏感服务的预期行为,监控程序实际行为,阻断与预期行为不一致的服务执行,实现对非预期执行攻击的防御。基于对影响服务行为的关键要素的观察,本文提出了锁闭保护模型,作为阻断非预期执行攻击的理论支撑。然后,在Linux实验环境下实现了一个锁闭保护原型系统,使用真实的高级持续性威胁攻击样本、内核权限提升漏洞以及流行的应用程序进行了有效性验证,并评估了其产生的性能开销.实验结果表明,该原型系统能成功抵御典型的非预期执行攻击,仅引入不超过5%的性能开销.