本申請實(shí)施例提供了一種漏洞防御方法及電子裝置，該方法包括：構(gòu)建擬態(tài)防御架構(gòu)，包括輸入代理模塊、異構(gòu)任務(wù)池、負(fù)反饋控制模塊以及匯總裁決模塊；向所述輸入代理模塊中輸入目標(biāo)程序數(shù)據(jù)；所述異構(gòu)任務(wù)池將接收的所述目標(biāo)程序數(shù)據(jù)分別基于多種語言編譯形成多個(gè)程序段，并對所述多個(gè)程序段進(jìn)行處理形成多個(gè)獨(dú)立運(yùn)行地執(zhí)行體任務(wù)；所述匯總裁決模塊獲得所述多個(gè)執(zhí)行體任務(wù)的執(zhí)行結(jié)果，并基于所述執(zhí)行結(jié)果確定將會產(chǎn)生漏洞的目標(biāo)程序段；所述負(fù)反饋控制模塊消除所述目標(biāo)程序段。本申請的漏洞防御方法通過對程序內(nèi)部進(jìn)行擬態(tài)化改造，使程序數(shù)據(jù)被改變，不僅能夠主動防御漏洞，且會增加函數(shù)基址定位難度，提高程序自身防御能力。

技術(shù)領(lǐng)域

本申請實(shí)施例涉及網(wǎng)絡(luò)防御領(lǐng)域，特別涉及一種漏洞防御方法及電子設(shè)備。

背景技術(shù)

在網(wǎng)絡(luò)安全領(lǐng)域，軟件漏洞分析是非常重要的一環(huán)，在眾多的漏洞類型中，緩沖區(qū)溢出漏洞是最常見的一種漏洞類型。緩沖區(qū)溢出，根據(jù)緩沖區(qū)的位置不同，又分為棧的溢出，和堆的溢出。棧緩沖區(qū)溢出，是指通過向程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行攻擊者構(gòu)造的數(shù)據(jù)，以達(dá)到執(zhí)行惡意代碼的目的。

在軟件系統(tǒng)的運(yùn)行過程中，棧溢出是導(dǎo)致軟件系統(tǒng)不穩(wěn)定的重要原因，由于棧溢出具有偶現(xiàn)的特點(diǎn)，往往很難找到導(dǎo)致問題的原因，導(dǎo)致產(chǎn)品研發(fā)周期的不確定性。在分析漏洞產(chǎn)生的原因時(shí)，迅速地定位到漏洞發(fā)生點(diǎn)是非常必要的。如果把引發(fā)緩沖區(qū)溢出的函數(shù)調(diào)用稱為溢出函數(shù)，那么溢出函數(shù)的定位就有著至關(guān)重要的作用。

現(xiàn)有的防止棧溢出漏洞產(chǎn)生的方法包括：攔截出棧指令；調(diào)取與該出棧指令對應(yīng)的入棧指令；判斷該出棧指令與該入棧指令的棧數(shù)據(jù)是否一致；根據(jù)判定結(jié)果對該出棧指令進(jìn)行相應(yīng)處理。具體地，該方法具體實(shí)施時(shí)通常采用記錄函數(shù)調(diào)用基址的方式，通過對比調(diào)用前后的函數(shù)基址是否相同，判斷是否產(chǎn)生棧溢出攻擊，而且通常使用單獨(dú)的檢測模塊進(jìn)行棧溢出漏洞檢測，當(dāng)檢測模塊產(chǎn)生棧溢出漏洞時(shí)將無法防御棧溢出攻擊，另外被記錄的執(zhí)行前后的函數(shù)基址都被改變時(shí)防御效果一樣會失效。

發(fā)明內(nèi)容

本申請?zhí)峁┝艘环N通過對程序內(nèi)部進(jìn)行擬態(tài)化改造，使程序數(shù)據(jù)被改變，不僅能夠主動防御漏洞，且會增加函數(shù)基址定位難度的漏洞防御方法，及應(yīng)用該方法的電子裝置。

為了解決上述技術(shù)問題，本申請實(shí)施例提供了一種漏洞防御方法，包括：

構(gòu)建擬態(tài)防御架構(gòu)，包括輸入代理模塊、異構(gòu)任務(wù)池、負(fù)反饋控制模塊以及匯總裁決模塊；

向所述輸入代理模塊中輸入目標(biāo)程序數(shù)據(jù)；

所述異構(gòu)任務(wù)池將接收的所述目標(biāo)程序數(shù)據(jù)分別基于多種語言編譯形成多個(gè)程序段，并對所述多個(gè)程序段進(jìn)行處理形成多個(gè)獨(dú)立運(yùn)行地執(zhí)行體任務(wù)；

所述匯總裁決模塊獲得所述多個(gè)執(zhí)行體任務(wù)的執(zhí)行結(jié)果，并基于所述執(zhí)行結(jié)果確定將會產(chǎn)生漏洞的目標(biāo)程序段；

所述負(fù)反饋控制模塊消除所述目標(biāo)程序段。

作為優(yōu)選，所述向所述輸入代理模塊中輸入目標(biāo)程序數(shù)據(jù)，包括：

確定程序數(shù)據(jù)中導(dǎo)致漏洞的概率滿足閾值的目標(biāo)程序數(shù)據(jù)；

將所述目標(biāo)程序數(shù)據(jù)輸入至所述輸入代理模塊中。

作為優(yōu)選，還包括：

所述輸入代理模塊將所述目標(biāo)程序數(shù)據(jù)復(fù)制多份，并發(fā)送至所述異構(gòu)任務(wù)池中；

所述異構(gòu)任務(wù)池將接收的所述目標(biāo)程序數(shù)據(jù)分別基于多種語言編譯形成多個(gè)程序段，并對所述多個(gè)程序段進(jìn)行處理形成多個(gè)獨(dú)立運(yùn)行地執(zhí)行體任務(wù)，包括：

將每份復(fù)制的目標(biāo)程序數(shù)據(jù)進(jìn)行處理形成n個(gè)獨(dú)立地程序段；

基于m種語言分別將所述n個(gè)獨(dú)立地程序段進(jìn)行編譯；