[发明专利]一种基于数据流监控的代码复用攻击防御方法及系统

摘要

本发明公开了一种基于数据流监控的代码复用攻击防御方法及系统，属于系统安全技术领域。本发明方法首先由目标程序和共享库源码提取函数、数据信息，再对中间语言代码进行分析，识别目标程序和共享库中的内存访问指令，对指令进行插桩并生成函数跳转表和指令重定位信息。在目标程序加载时，将目标程序和共享库的各个段、堆和栈映射到内存地址空间的对应区域，并设置隔离环境。在目标程序运行时,通过监控异常数据流的方式，防止攻击者对隔离区内部进行搜索，从而防止代码复用攻击。本发明还实现了一种基于数据流监控的代码复用攻击防御系统。本发明适用于X86_64平台上的代码复用攻击防御，能避免由攻击造成的巨大损失。

主权项

1.一种基于数据流监控的代码复用攻击防御方法，其特征在于，所述方法包括：(1)在编译过程中，从目标程序和共享库源码中提取函数和数据信息；所述函数信息包括函数名、函数入口；所述数据信息包括数据名、数据位置和数据类型；(2)分析步骤(1)编译形成的中间语言代码，根据提取的函数信息和数据信息，识别所述中间语言代码中的内存访问指令；对内存读操作指令、取函数地址指令、对栈中数据进行操作的指令进行插桩，并生成所述函数对应的跳转表；所述插桩，指在不影响程序正常执行的前提下，插入新的指令，或对原有的指令进行修改；(3)识别所述中间语言代码中对数据段中内容进行访问的指令，生成指令重定位表，并在编译时添加到目标语言代码的指令重定位段中，形成包含指令重定位段的可执行文件；(4)在目标程序加载时，将目标程序和共享库的各个段、堆和栈映射到内存地址空间中的隔离区和数据区，利用步骤(3)中生成的重定位表对代码段中访问数据段中内容的指令进行修正，找到正确的数据地址，并初始化隔离环境；所述初始化是指对％bnd0寄存器进行设置，把它设置为隔离区的边界，启用MPX检查机制；以及为隔离栈分配空间，隔离栈用于保存返回地址和栈上的函数指针；(5)在目标程序运行时，检测异常数据流，通过检查触发异常指令的访问地址判定其合法性；判定规则为：如果访问的地址内容为代码或隔离栈数据，则判定为真非法，报出异常，并生成日志信息；否则判定为假非法；此时对内存读操作指令前由步骤(2)插桩的检查指令进行修改，将检查指令替换成无操作指令，防止假非法情况继续出现；所述异常数据流指内存读操作指令，对隔离区内的内存进行了访问。