一種篡改程序流攻擊的檢測方法和裝置，以有效識別出受到攻擊的異常程序流。檢測方法為，確定被檢測進程發生分支預測失敗事件時，獲取被檢測進程中發生時刻距離當前時刻由近及遠的N條跳轉指令；從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令，N和M均為正整數，且N不小于M；獲取所述M條跳轉指令的目標地址；若所述M條跳轉指令的目標地址未全部包含在預設的白名單中時，確定所述被檢測進程發生篡改程序流攻擊，可以有效并安全的檢測出被檢測進程是否被篡改程序流攻擊，與現有技術相比，無需在跳轉指令之前插入檢驗代碼，避免插樁引入的代碼開銷，可以提高代碼的運行效率。

技術領域

本申請涉及計算機技術領域，尤其涉及一種篡改程序流攻擊的檢測方法和裝置。

背景技術

堆棧緩存溢出(Stack Smashing)漏洞，是操作系統和應用程序安全漏洞中比較常見、造成的后果比較嚴重的漏洞類型之一。攻擊者可以利用這種漏洞遠程執行惡意代碼。惡意篡改程序流攻擊，就是利用函數的堆棧緩存溢出漏洞往程序內存中寫入超長數據，覆蓋程序的返回地址，達到控制程序執行行為的目的。返回導向編程(Return orientedprogramming，ROP)是現階段惡意篡改程序流攻擊中最具威脅的攻擊。

返回導向編程(Return oriented programming，ROP)是建立在函數堆棧緩存溢出基礎上的一種高級篡改程序流攻擊。與傳統的代碼注入攻擊不同，ROP攻擊注入到棧上的不是惡意代碼，而是系統中已有指令序列的地址，中間夾雜著一些供指令序列使用的數據。攻擊者從已有的庫或可執行文件中提取指令片段，構建惡意代碼，ROP可以借用現有操作系統函數庫，實現任何邏輯功能。

控制流完整性(Control Flow Integrity)檢查作為一種防御篡改程序流攻擊的安全機制，通過監視程序運行過程中的控制流轉移過程，使控制流始終處于原有控制流圖所限定的合法范圍內。

控制流完整性檢查是在編譯階段通過編譯器靜態分析程序的控制流圖，重點關注間接轉移指令，如間接跳轉、間接調用和函數返回等指令，獲取相應的白名單。在程序運行過程中在間接轉移指令之前插入檢驗代碼，對間接轉移指令的目標地址進行檢查核對。攻擊者對控制流的劫持會導致目標地址不在白名單中，此時利用控制流完整性檢查技術可迅速行阻斷控制流的劫持，保證系統安全。

由此可知，現有的控制流完整性檢查通過編譯器控制，在控制流的間接轉移指令前插入檢驗代碼，來判斷目標地址的合法性。這種插樁方式引入的開銷非常大，對代碼的正常運行造成很大影響。

發明內容

本申請實施例提供一種篡改程序流攻擊的檢測方法和裝置，以有效的識別出受到攻擊的異常程序流。

第一方面，本申請實施例提供一種篡改程序流攻擊的檢測方法，包括：確定被檢測進程發生分支預測失敗事件時，獲取所述被檢測進程中已發生時刻距離當前時刻由近及遠的N條跳轉指令；從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令，N和M均為正整數，且N不小于M；獲取所述M條跳轉指令的目標地址；若所述M條跳轉指令的目標地址未全部包含在預設的白名單中時，確定所述被檢測進程發生篡改程序流攻擊。這樣，能夠有效并安全的檢測出被檢測進程是否被篡改程序流攻擊，與現有技術相比，無需在跳轉指令之前插入檢驗代碼，可以降低插樁引入的代碼開銷，提高代碼運行效率。

在第一方面的一種可能的設計中，從所述N條跳轉指令中篩選出符合預設高危條件的M條跳轉指令時，將所述N條跳轉指令中的靜態跳轉指令和已經發生過的動態跳轉指令篩選出來作為所述M條跳轉指令。這樣能夠快速篩選出M條高危跳轉指令進行檢測分析，無需針對安全的跳轉指令進行檢測分析，提高檢測效率。

在第一方面的一種可能的設計中，若所述M條跳轉指令的目標地址全部包含在預設的白名單中時，確定所述被檢測進程運行安全。