技術領域

本發明涉及網絡安全技術，尤其涉及一種檢測面向返程的編程(ROP，Return-oriented Programming)攻擊的方法及裝置。

背景技術

隨著計算機網絡技術的廣泛應用，互聯網逐漸成為惡意應用程序攻擊用戶的主要途徑，惡意應用程序通過將應用程序文件偽裝成其他類型文件，并引誘用戶點擊和下載，在惡意應用程序被下載到用戶計算機并成功運行后，攻擊者就可以利用安裝的惡意應用程序，針對操作系統以及應用程序軟件的漏洞實施攻擊，例如，破壞用戶計算機、竊取用戶隱私信息等。其中，漏洞是指操作系統或應用程序軟件在邏輯設計上的缺陷或在編寫時產生的錯誤。這些缺陷或錯誤往往可以被攻擊者利用，并植入木馬等惡意應用程序，從而侵害、控制甚至破壞用戶計算機軟硬件系統，或者竊取用戶隱私信息，給用戶的網絡安全帶來極大隱患。

通過緩沖區溢出的方式對操作系統漏洞實施攻擊，是近年來操作系統遭受惡意應用程序攻擊的主要方式。緩沖區是操作系統在應用程序運行期間，為該應用程序分配的用于存放局部變量及函數參數的一段連續的存儲空間。當應用程序向預分配的固定大小(容量)的緩沖區中進行數據填充時，如果填充的數據超過緩沖區容量，在操作系統不對緩沖區中填充的數據進行邊界檢測的情況下，將發生緩沖區溢出現象，溢出的數據將向與緩沖區相鄰的高地址繼續寫入，形成緩沖區溢出現象。

由于操作系統存在缺乏邊界安全檢查的機制，從而為攻擊者入侵提供了可乘之機，攻擊者可以利用緩沖區溢出現象，通過構造用于填充緩沖區的填充數據，從而使得溢出的數據覆蓋到該應用程序的關鍵位置，例如，函數指針、函數的返回地址或是棧指針等，實現對該應用程序執行流程的控制，并進而可以將該應用程序引導到預先存放的惡意代碼處執行，從而達到破壞操作系統甚至獲得操作系統控制權限。例如，通過緩沖區溢出，可以獲取根(root)權限或管理員權限，并利用獲得的根權限或管理員權限，竊取用戶隱私信息的目的。

目前，針對緩沖區溢出，業界雖然提出了許多檢測和防護策略，但緩沖區溢出攻擊仍面臨較為嚴峻的形勢，一方面，在于不斷有新的操作系統漏洞被發掘和利用，另一方面，已有的防護策略也被層出不窮的攻擊方式所攻破。因而，針對緩沖區溢出攻擊的研究是網絡安全領域的一個熱點研究。

ROP攻擊是一種新的緩沖區溢出攻擊方式，采用基于代碼的復用技術，ROP攻擊通過從操作系統內存中已經存在的二進制代碼段的指令片斷(gadget)或者可執行文件中，尋找合適的指令片斷(gadget)，并通過精心設計返回堆棧，從而將各尋找到的合適的gadget拼接起來形成包含惡意代碼的攻擊序列，從而達到惡意攻擊的目的。由于ROP攻擊利用的都是內存中合法的的代碼，可以繞過操作系統防護緩沖區溢出的重要保護機制，例如，數據執行保護(DEP，Data Execution Prevention)，從而給操作系統以及網絡帶來極大的安全威脅。

以Windows操作系統為例，ROP攻擊一直是微軟面臨的最大安全問題。雖然微軟在不斷完善ROP攻擊的防護策略，例如，在Vista以上的版本中開始加入Windows地址空間配置隨機化(ASLR，Address Space Layout Randomization)防護技術或Mandatory ASLR防護技術，可以較為有效地防范惡意應用程序中的ROP攻擊，但該防范技術需要編譯器的支持。這樣，一方面，使得很多早期的操作系統，例如，早期版本msvcrt.dll、gdi32.dll等，由于都不支持ASLR以及支持編譯器，導致早期的操作系統，容易被攻擊者利用，從而成功構造ROP攻擊代碼進行操作系統攻擊；另一方面，由于層出不窮的漏洞攻擊，尤其是在微軟停止XP服務后，已有的防護策略可能被其他的攻擊方式所攻破，使得許多基于Windows操作系統的用戶將面臨更為嚴重的安全問題。

發明內容

有鑒于此，本發明實施例提供一種檢測面向返程的編程攻擊的方法及裝置，能夠有效檢測ROP攻擊、提升網絡安全性。

為達到上述目的，本發明的實施例采用如下技術方案：

一方面，本發明實施例提供一種檢測面向返程的編程攻擊的方法，分別在每一待監測的應用程序的進程中注入預先設置的應用編程接口函數監測程序；該方法還包括：

監測到所述待監測的應用程序的進程調用預先設置的應用編程接口API函數庫中的API函數時，暫緩所述待監測的應用程序的進程對所述API函數的調用；

按照預先設置的面向返程的編程ROP防護策略處理暫緩調用的所述API函數，以確定是否允許調用暫緩調用的所述API函數。