利用字节模式二维特征的ROP链智能检测方法

面向返回编程(return oriented programming, ROP)攻击是网络攻击者突破操作系统安全防护、实现漏洞攻击的一种主要手段,ROP链是ROP攻击的重要组成部分。为检测网络流量中的ROP链,提出了一种能自动提取ROP链特征、具有良好泛化性能的智能检测方法。该方法采用顺序抽取的方式将被测流量分成多个序列,利用滑动窗口和数值量化将输入的一维流量数据转换为二维特征向量,基于卷积神经网络模型实现对ROP链的检测。不同于已有的静态检测方法,该方法不依赖程序内存地址的上下文信息,实现简单、部署方便,且具有优异的检测性能。实验结果表明,模型最高准确率为99.4%,漏报率为0.6%,误报率为0.4%,时间开销在0.1 s以内,对真实ROP攻击流量的漏报率为0.2%。

针对ROP攻击的动态运行时检测系统

根据面向返回的编程(ROP)攻击及其变种的攻击原理,设计一个针对ROP攻击的动态运行时检测系统。该系统包括静态插桩和动态运行监控2个阶段。静态插桩为待检测程序装配分析代码,动态运行利用ret完整性检测、call完整性检测和jmp完整性检测方法分析程序的控制流和数据流,判断是否为ROP攻击。实验结果表明,该方法能完全检测出ROP恶意代码。

ROPDetector:一种基于硬件性能计数器的ROP攻击实时检测方法

面向返回编程(Return-Oriented Programming,ROP)是针对软件漏洞利用最广泛的攻击技术之一,能够绕过数据执行保护、地址空间布局随机化等防御机制.本文提出了一种基于硬件的ROP攻击实时检测方法,在不需要任何边缘信息(如源代码、编译器支持)和二进制重写的情况下,利用现代CPU中的硬件性能计数器监控目标程序执行过程,提取ROP攻击发生时底层硬件事件特征来实时检测ROP攻击.然后,在32位Linux实验环境下实现了原型系统ROPDetector,使用真实的ROP攻击与漏洞进行实验,并与同类方法进行了对比实验,最后评估了系统的性能消耗.实验结果表明,该方法能有效地检测真实的ROP攻击,在分别以6次和9次错误预测返回指令为检测周期时,系统性能消耗仅有5.05%和5.25%,磁盘I/O性能消耗仅有0.94%和2%,网络I/O性能消耗仅有0.06%和0.78%.

面向云平台的硬件辅助ROP检测方法

针对现有面向返回编程（return oriented programming，ROP）攻击检测方案难以满足云计算平台下要求部署灵活、可移植性强、检测透明的特点，该文提出一种基于硬件辅助的ROP攻击实时检测方法，利用Intel最后分支记录器（last branch record，LBR）可以记录客户虚拟机间接分支跳转信息的硬件特性，在虚拟机监视器中实现快速的ROP配件攻击链检测，使用虚拟机自省（virtual machine introspection，VMI）技术在特权域Dom0中完成间接分支跳转的合法性验证，达到保护客户虚拟机进程空间中共享链接库控制流完整性的目的。结果表明：该方法能有效地检测ROP攻击，引入的平均性能开销低于7％。

PDF文件漏洞检测

近年来,针对商业组织和政府机构的网络攻击事件层出不穷,高级持续性威胁(APT)攻击时有发生。恶意PDF文件是APT攻击的重要载体,它通过执行嵌入在文件内部的恶意代码完成攻击过程。查找PDF文件自身存在的安全漏洞,检测利用PDF漏洞的关键代码如面向返回的编程(ROP)链等,将在根源上对PDF恶意代码的传播路径进行阻断,从而更好地应对PDF恶意代码的多样性和多变性。该文首先对PDF文件格式漏洞的原理和分析方法进行介绍,然后结合PDF漏洞分析实例,对漏洞检测规则库进行构建,提出一种基于规则匹配的PDF已知漏洞检测方法,接下来描述ROP技术的原理,对ROP链的检测方法进行分析,最后比较所实现的漏洞检测系统与现有的安全检测工具赛门铁克和BitDefender的已知漏洞检测能力,由检测结果可知该系统对已知漏洞的检测能力明显高于同类产品。