面向云平台的硬件辅助ROP检测方法

针对现有面向返回编程（return oriented programming，ROP）攻击检测方案难以满足云计算平台下要求部署灵活、可移植性强、检测透明的特点，该文提出一种基于硬件辅助的ROP攻击实时检测方法，利用Intel最后分支记录器（last branch record，LBR）可以记录客户虚拟机间接分支跳转信息的硬件特性，在虚拟机监视器中实现快速的ROP配件攻击链检测，使用虚拟机自省（virtual machine introspection，VMI）技术在特权域Dom0中完成间接分支跳转的合法性验证，达到保护客户虚拟机进程空间中共享链接库控制流完整性的目的。结果表明：该方法能有效地检测ROP攻击，引入的平均性能开销低于7％。

PDF文件漏洞检测

近年来,针对商业组织和政府机构的网络攻击事件层出不穷,高级持续性威胁(APT)攻击时有发生。恶意PDF文件是APT攻击的重要载体,它通过执行嵌入在文件内部的恶意代码完成攻击过程。查找PDF文件自身存在的安全漏洞,检测利用PDF漏洞的关键代码如面向返回的编程(ROP)链等,将在根源上对PDF恶意代码的传播路径进行阻断,从而更好地应对PDF恶意代码的多样性和多变性。该文首先对PDF文件格式漏洞的原理和分析方法进行介绍,然后结合PDF漏洞分析实例,对漏洞检测规则库进行构建,提出一种基于规则匹配的PDF已知漏洞检测方法,接下来描述ROP技术的原理,对ROP链的检测方法进行分析,最后比较所实现的漏洞检测系统与现有的安全检测工具赛门铁克和BitDefender的已知漏洞检测能力,由检测结果可知该系统对已知漏洞的检测能力明显高于同类产品。