本發明公開了一種抵抗實時代碼復用攻擊的防御方法，包括以下步驟：S1，獲取共享庫代碼原有的頁面流向圖；S2，在原有的XnR滑動窗口增加頁面流向的記錄；S3，對比共享庫代碼原有的頁面流向圖和滑動窗口內的頁面流向的記錄，檢測非法流。本發明能夠提高原始XnR的防御能力，避免已加載到進程地址空間的內存頁無法被持續檢測的缺陷。

技術領域

本發明屬于計算機代碼安全防御技術領域，具體涉及一種抵抗實時代碼復用攻擊的防御方法。

背景技術

實時代碼復用攻擊是利用內存頁可讀的漏洞截獲某一內存頁，盡可能多的通過控制流分析獲取其他頁的二進制內容。具體是基于得到的頁面信息，實時代碼復用攻擊構建了一個動態編譯引擎，搜集短序列構造gadgets并編譯攻擊代碼。

針對代碼復用攻擊的防御，現有技術中的可執行不可讀（XnR）方案，將內存頁的執行權限和讀權限分割成兩個不相交的集合，做互斥管理，能夠防御大部分利用內存頁可讀漏洞的攻擊。但是如果一個內存頁已經被加載到了進程的地址空間里，后續的檢測都無法實現，直到它被移出地址空間。假設窺視內存的行為以函數為單位，對于某一個函數，若每次該函數先被調用，再被惡意程序讀取，則該行為不會觸發XnR防御機制。因此，XnR方案存在固有缺陷。

發明內容

本發明的目的在于克服現有技術中的不足，提供了一種抵抗實時代碼復用攻擊的防御方法，實現內存頁的防御。

為解決上述技術問題，本發明提供了一種抵抗實時代碼復用攻擊的防御方法，其特征是，包括以下步驟：

S1，獲取共享庫代碼原有的頁面流向圖；

S2，在原有的XnR滑動窗口增加頁面流向的記錄；

S3，對比共享庫代碼原有的頁面流向圖和滑動窗口內的頁面流向的記錄，檢測非法流。

進一步的，S1中，獲取共享庫代碼原有的頁面流向結果的具體過程為：

將共享庫代碼轉換為SSA形式的中間語句；

分析SSA形式的中間語句獲得基本塊之間的跳轉關系；

獲取每條指令的偏移量，將各指令的偏移量映射為一個線性頁號；

在SSA形式的中間語句中標記上對應的頁號，由語句間的跳轉關系獲得頁間的跳轉關系，即獲得共享庫代碼原有的頁面流向圖。

進一步的，共享庫代碼利用BAP平臺轉換為SSA形式的中間語句。

進一步的，利用靜態分析算法分析SSA形式的中間語句獲得基本塊之間的跳轉關系。

進一步的，當缺頁異常觸發時，提取觸發缺頁異常的當前指令及其所在頁的信息，形成頁面流向的記錄。

進一步的，頁的信息包括頁號、內存頁面的偏移量，以及該頁所屬的共享庫名稱。

進一步的，獲取非法流的具體過程為：

當一個內存頁面流滿足以下條件時，會被定義為非法流：

(1)滑動窗口的活動頁中不存在不能識別的跳轉指令；

(2)滑動窗口中的活動頁與缺頁異常觸發頁面流向的記錄之間的關聯在共享庫原有的頁面流向圖中未出現。

與現有技術相比，本發明所達到的有益效果是：該發明能夠提高原始XnR的防御能力，避免已加載到進程地址空間的內存頁無法被持續檢測的缺陷。

附圖說明

圖1是本發明方法的流程示意圖。

具體實施方式