技術(shù)領(lǐng)域

本發(fā)明涉及計算機安全技術(shù)領(lǐng)域，尤其涉及一種噴射模式攻擊的檢測方法和裝置。

背景技術(shù)

隨著計算機技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為人們獲取信息的主要工具，隨之而來的是對計算機安全技術(shù)需求的不斷提高。計算機病毒、木馬、間諜軟件和惡意代碼是近幾年來計算機網(wǎng)絡(luò)面對的主要威脅，其中spray(噴射)型網(wǎng)頁木馬是近期出現(xiàn)的一種新型木馬。spray包括多種模式，如Heapspray(堆噴射)、object?spray(對象噴射)、jit?spray(just?in?time?spray，適時噴射)等。spray型網(wǎng)頁木馬因其通用性強、生成惡意網(wǎng)頁簡單而被廣泛的采用，因此spray型網(wǎng)頁木馬的檢測已是迫在眉睫的任務。

Heapspray型網(wǎng)頁木馬會在內(nèi)存中填充大量無害的x86指令(如NOP、XOR?EAX，EAX等)，并在其后附加shellcode(惡意攻擊指令)，這樣在溢出成功并改變CPU的指令寄存器(EIP)時，只要EIP修改為內(nèi)存堆上的一個地址，執(zhí)行路徑就會以很大的概率跳轉(zhuǎn)到這些x86指令中，并最終執(zhí)行shellcode。通過這種方式，在構(gòu)造攻擊代碼時，攻擊者可以不必精確計算溢出點和跳轉(zhuǎn)地址，這就大大提高了攻擊代碼的通用性和成功率。其它模式的spray型網(wǎng)頁木馬，如object?spray(對象噴射)、jit?spray(just?in?time?spray，適時噴射)等與Heapspray的特征是一樣的，即利用網(wǎng)頁漏洞來實現(xiàn)代碼溢出，進而達到惡意攻擊的目的。

現(xiàn)有技術(shù)主要通過檢測shellcode是否可執(zhí)行來判斷是否存在spray型網(wǎng)頁木馬。在shellcode被加密或shellcode沒有存放在網(wǎng)頁中，而是存放在applet(應用程序)/activeX(控件)中的情況下，則該檢測方法會失效。而在其它模式的spray型網(wǎng)頁木馬中，可能沒有存在傳統(tǒng)的shellcode，只有object?spray(對象噴射)，目的是泄露地址，則此時通過檢測shellcode是否可執(zhí)行來判斷是否存在spray型網(wǎng)頁木馬的檢測手段就會失效。

綜上所述，目前僅通過檢測shellcode是否可執(zhí)行來判斷是否存在spray模式的攻擊的方法對某些spray模式的攻擊會出現(xiàn)檢測失效的情況。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種噴射模式攻擊的檢測方法和裝置，用以解決僅通過檢測shellcode是否可執(zhí)行來判斷是否存在噴射模式的攻擊的方法對某些噴射模式的攻擊會出現(xiàn)檢測失效的情況的問題。

本發(fā)明實施例提供的一種噴射模式攻擊的檢測方法，包括以下步驟：

以仿真方式執(zhí)行應用程序，并在應用程序執(zhí)行過程中執(zhí)行以下操作：

對敏感函數(shù)的調(diào)用情況進行檢測，敏感函數(shù)是用于管理內(nèi)存的函數(shù)；

當檢測到敏感函數(shù)調(diào)用異常且產(chǎn)生異常內(nèi)存塊時，確定敏感函數(shù)調(diào)用異常且產(chǎn)生異常內(nèi)存塊的累計次數(shù)；

若敏感函數(shù)的調(diào)用異常且產(chǎn)生異常內(nèi)存塊的累計次數(shù)不小于第一閾值，則對敏感函數(shù)調(diào)用過程中產(chǎn)生的異常內(nèi)存塊進行時間戳檢測，依據(jù)時間戳檢測的結(jié)果生成第一分數(shù)；

若第一分數(shù)不小于第二閾值，則確定應用程序存在噴射模式的攻擊。

較佳的，對敏感函數(shù)調(diào)用過程中產(chǎn)生的異常內(nèi)存塊進行時間戳檢測，依據(jù)時間戳檢測的結(jié)果生成第一分數(shù)，具體包括：

計算相鄰的異常內(nèi)存塊的時間戳之間的第一差值；

確定第一差值小于第三閾值的數(shù)量；

若小于第三閾值的第一差值的數(shù)量不小于第四閾值時，則依據(jù)第一差值在第一取值范圍或第二取值范圍或第三取值范圍的分布概率生成第一分數(shù)。

較佳的，依據(jù)第一差值在第一取值范圍或第二取值范圍或第三取值范圍的分布概率得到第一分數(shù)，具體包括：

確定第一差值在第一取值范圍的第一分布概率，當?shù)谝环植几怕什恍∮诘谖彘撝禃r，依據(jù)第一分布概率生成第一分數(shù)；

當?shù)谝环植几怕市∮诘谖彘撝禃r，確定第一差值在第二取值范圍的第二分布概率，當?shù)诙植几怕什恍∮诘诹撝禃r，依據(jù)第二分布概率生成第一分數(shù)；

當?shù)诙植几怕市∮诘诹撝禃r，確定第一差值在第三取值范圍的第三分布概率，當?shù)谌植几怕什恍∮诘谄唛撝禃r，依據(jù)第三分布概率生成第一分數(shù)；

當?shù)谌植几怕市∮诘谄唛撝禃r，依據(jù)第一分布概率、第二分布概率、第三分布概率生成第一分數(shù)；

其中，第三取值范圍包含第二取值范圍；第二取值范圍包含第一取值范圍；

其中，第五閾值小于第六閾值，第六閾值小于第七閾值。

較佳的，還包括：