技術領域

本發明屬于計算機安全領域，具體是一種基于動態二進制翻譯框架的代碼復用攻擊檢測系統。

背景技術

軟件規模的不斷擴展使得漏洞數量日益增多，互聯網的普及使得基于軟件漏洞的攻擊呈現范圍廣、方式多、蔓延快等特點，對用戶的安全造成嚴重威脅。早期針對緩沖區溢出漏洞的主要攻擊方式是代碼注入，攻擊者本地或者遠程向進程地址空間注入可執行的二進制代碼，改變程序的控制流使進程執行這段代碼，目前存在大量針對代碼注入攻擊的防御機制。

代碼復用攻擊(Code?Reuse?Attack)是當前較為常見的攻擊方式，是代碼注入攻擊的演化，無需攻擊者注入惡意代碼，利用動態庫或者程序中的合法函數和指令發動有效攻擊?；赗OP(Return?OrientedProgramming)以及JOp(Jump-Oriented?Programming)技術的代碼復用攻擊，分別利用以RET和JMP指令結束的指令序列，可實現任意目的的攻擊。目前，黑客們已成功在各種平臺、設備、軟件中實施代碼復用攻擊，代碼復用攻擊自動化構造技術的出現使得代碼復用攻擊已成為威脅最大的一種攻擊方式。

二進制翻譯技術能夠將一種平臺的二進制可執行文件翻譯為同平臺或者其他平臺中可執行的二進制代碼，使可執行程序能突破平臺的限制，增強了軟件和處理器之間的適應性。動態二進制翻譯指在程序的執行過程中對源程序進行實時翻譯，實時監控整個翻譯和執行過程，是追蹤程序控制流常采用的一種技術。

動態二進制探測(Instrumentatation)技術利用動態二進制翻譯技術，在程序中加入額外代碼收集程序行為信息或者改變程序行為。探測技術可運用在程序各階段，作用在二進制代碼的級別，不需要源代碼的支持，覆蓋所有被執行的客戶代碼并對代碼進行分析，很容易地區分程序的數據和代碼，主要應用于程序行為分析、程序漏洞的檢測和防御，程序安全性保證等方面。

現有防御機制或者檢測系統存在這樣那樣的不足，如需源代碼支持，性能開銷大等缺點。本發明結合動態二進制翻譯框架，設計了一種代碼復用攻擊的檢測系統，解決了目前檢測系統中存在的不足。

發明內容

本發明提出了一種基于動態二進制翻譯框架的代碼復用攻擊檢測系統，該系統能保證非惡意程序的正常執行，檢測和終止惡意攻擊的運行。它包括翻譯器、探測器、Cache以及跳臺四個模塊。

翻譯器負責程序的翻譯工作，以基本塊為單位，截獲程序的指令流逐條對程序的二進制指令解碼翻譯。采用同平臺翻譯技術和“翻譯-執行”模式，每翻譯完一個基本塊，執行該基本塊。

探測器通過執行C代碼或者添加匯編代碼到目標代碼中，提供指令的正常執行、安全性檢測以及指令的優化，分為常規探測和攻擊檢測。常規探測為基礎部分，保證程序正常運行；攻擊檢測為核心，主要處理程序中存在控制流轉移的潛在危險指令。

Cache一方面分配內存空間緩存翻譯過后的目標代碼，降低重復翻譯引入的開銷；一方面建立并維護Cache中的映射表，映射表保存著基本塊源地址和翻譯地址之間的映射關系。

跳臺(Trampoline)實質上是由嵌入內存中的匯編指令序列構成，通過調用跳臺首地址執行嵌入的匯編指令序列，主要用于實現函數調用、其他跳臺調用、指令的優化等，保證程序的翻譯和執行工作有序進行。

與已有的漏洞檢測技術或者攻擊檢測系統相比，本發明具有如下特點：

a)無需程序源代碼支持。很多傳統檢測方法或系統需要程序提源代碼，而目前操作系統中的大部分程序不提供源代碼，大大限制了檢測機制的適用范圍。本發明基于動態二進制翻譯技術，截獲程序的二進制指令并翻譯為同平臺的可執行目標代碼，為非開源程序提供安全性檢測。

b)運行的高效性。程序通過檢測系統翻譯和檢測后再運行，必將導致性能開銷急劇增長，本發明提出Cache緩存翻譯后的目標代碼，設置局部Cache和跳轉目標預測機制優化目標代碼的執行性能，保證程序的運行效率。

附圖說明

圖1為本發明系統結構示意圖；

圖2為本發明中翻譯器組件工作流程圖；

圖3為本發明中Cache機制的結構示意圖；

圖4為本發明提出的核心組件攻擊檢測器的結構示意圖；

圖5為本發明提出的影子棧內存布局；

具體實施方式

下面結合附圖以及實例對本發明的具體實施方式作進一步的詳細說明。