技術領域

本發明涉及網絡安全技術，尤其涉及一種檢測結構化異常處理(SEH，Structured Exception Handler)攻擊的方法及裝置。

背景技術

隨著計算機網絡技術的廣泛應用，互聯網逐漸成為惡意應用程序攻擊用戶計算機的主要途徑，惡意應用程序通過將應用程序文件偽裝成其他類型文件，并引誘用戶點擊和下載，在惡意應用程序被下載到用戶計算機并成功運行后，攻擊者就可以利用安裝的惡意應用程序，針對操作系統以及應用程序軟件的漏洞實施攻擊，例如，破壞用戶計算機、竊取用戶隱私信息等。其中，漏洞是指操作系統或應用程序軟件在邏輯設計上的缺陷或在編寫時產生的錯誤。這些缺陷或錯誤往往可以被攻擊者利用，并植入木馬等惡意應用程序，從而侵害、控制甚至破壞用戶計算機軟硬件系統，或者竊取用戶隱私信息，給用戶的網絡安全帶來極大隱患。

其中，通過緩沖區溢出的方式對操作系統漏洞實施攻擊，是近年來操作系統遭受惡意應用程序攻擊的主要方式。緩沖區是操作系統在應用程序運行期間，為該應用程序分配的用于存放局部變量及函數參數的一段連續的存儲空間。當應用程序向預分配的固定大小(容量)的緩沖區中進行數據填充時，如果填充的數據超過緩沖區容量，在操作系統不對緩沖區中填充的數據進行邊界檢測的情況下，將發生緩沖區溢出現象，溢出的數據將向與緩沖區相鄰的高地址繼續寫入，形成緩沖區溢出現象。

由于操作系統存在缺乏邊界安全檢查的機制，從而為攻擊者入侵提供了可乘之機，攻擊者可以利用緩沖區溢出現象，通過構造用于填充緩沖區的填充數據，從而使得溢出的數據覆蓋到該應用程序的關鍵位置，例如，函數指針、函數的返回地址或是棧指針等，實現對該應用程序執行流程的控制，并進而可以將該應用程序引導到預先存放的惡意代碼處執行，從而達到破壞操作系統甚至獲得操作系統控制權限。以獲得操作系統控制權限為例，通過緩沖區溢出，可以獲取根(root)權限或管理員權限，并利用獲得的根權限或管理員權限，實現竊取用戶隱私信息的目的。

目前，針對緩沖區溢出，業界雖然提出了許多檢測和防護策略，但一方面，由于不斷有新的操作系統漏洞被攻擊者發掘和利用，另一方面，已有的防護策略不斷被層出不窮的攻擊方式所攻破。因而，緩沖區溢出攻擊仍面臨較為嚴峻的形勢，針對緩沖區溢出攻擊的研究是網絡安全領域的一個熱點研究。

SEH攻擊是一種新的緩沖區溢出攻擊方式，攻擊者通過利用堆棧溢出漏洞或者其他漏洞構造攻擊數據，并使用構造的攻擊數據覆蓋運行應用程序的線程的SEH結構鏈表上的一個或多個節點中的數據，從而控制SEH結構鏈表中用于控制應用程序執行流程的指令指針寄存器(EIP，Instruction Pointer)，給操作系統以及應用程序運行帶來極大的安全威脅。

以Windows操作系統為例，SEH攻擊一直是微軟面臨的最大安全問題。雖然微軟在不斷完善SEH攻擊的防護策略，例如，在Windows XP SP2之后，針對SEH攻擊，微軟引入SafeSEH防護策略。但由于該SafeSEH防護策略，需要編譯器在編譯可執行(PE，Portable Execute)文件時進行特殊支持，例如，需要.net的編譯器編譯的映像文件支持才能發揮防護作用，而Windows XP SP2之前的很多庫文件及操作系統文件都是由不支持SafeSEH的編譯器編譯的。因此，在漏洞攻擊中，攻擊者可以利用早期(Windows XP SP2之前)不支持SafeSEH編譯器的模塊進行攻擊，從而繞過設置的SafeSEH防護策略。

針對SEH攻擊，在Vista以上的版本中，微軟還引入結構化異常處理覆蓋保護(SEHOP，Structured Exception Handler Overwrite Protection)防護策略，該SEHOP防護策略具有比SafeSEH防護策略更嚴格的防護機制。通過對應用程序運行使用的線程的SEH結構進行安全檢測，以檢測該應用程序是否受到了SEH攻擊。但該SEHOP防護策略需要用戶手動開啟SEHOP防護開關，也同樣需要編譯器的支持，且不支持Vista以下的版本，使得Vista以下版本的操作系統不能有效進行SEH攻擊檢測，因而，與SafeSEH防護策略相類似，防護SEH攻擊的應用范圍較為有限，不能滿足早期版本的操作系統對SEH攻擊的檢測和防護；進一步地，由于層出不窮的漏洞攻擊，尤其是在微軟停止XP服務后，已有的SafeSEH防護策略以及SEHOP防護策略可能被其他的攻擊方式所攻破，使得許多基于Windows操作系統的用戶將面臨更為嚴重的安全問題。

發明內容