本申請公開了一種檢測ROP攻擊的方法、裝置、計算機設備和計算機可讀存儲介質，所述方法通過獲取目標進程的信息，進而利用IPT機制跟蹤目標進程，獲得間接跳轉數據；再利用已經獲得的間接跳轉數據構建基線；構建基線后，通過新獲得的間接跳轉跟蹤數據，構建新的間接跳轉序列表；然后通過對比間接跳轉序列與基線間的關系，檢測所述目標進程是否是ROP攻擊所產生的進程。本申請不需要修改原有的二進制文件，僅依賴芯片與CPU提供的功能，即可解決相關技術中檢測ROP攻擊過程中系統損耗大的問題，在檢測ROP攻擊過程中能使系統保持高性能。

技術領域

本申請涉及信息安全領域，特別是涉及一種檢測ROP攻擊的方法、裝置、計算機設備和計算機可讀存儲介質。

背景技術

DEP(Data Execution Prevention，數據執行保護)是一種依賴于CPU(centralprocessing unit，中央處理器)實現的安全機制，，但是自從ROP(Return OrientedProgramming，返回導向編程)的概念提出后，基于ROP的攻擊可以輕易的繞過DEP，DEP已經不能滿足人們的安全需求。

在現有技術中，通常通過以下方式達到檢測或防御ROP攻擊，第一種，插件改造GCC(GNU Compiler Collection，GNU編譯器套件)，達到使ROP難以構造的目的，但是這種方式并不成熟，容易造成性能問題；第二種，通過改造二進制文件，編譯期消除函數尾的間接跳轉，達到使ROP難以構造的目的，但這種方式屬于侵入式修改，修改二進制文件后，容易造成軟件本身的功能失效。因此，上述檢測或防御ROP攻擊的方式都存在運行過程中對系統的損耗大的問題。

目前針對相關技術中檢測ROP攻擊過程中對系統的損耗大的問題，尚未提出有效的解決方案。

發明內容

本申請實施例提供了一種檢測ROP攻擊的方法、裝置、計算機設備和計算機可讀存儲介質，以至少解決相關技術中檢測ROP攻擊過程中對系統的損耗大的問題。

第一方面，本申請實施例提供了一種檢測ROP攻擊的方法，所述方法包括：

獲取目標進程的信息；

利用IPT(Intel Processor Tracing，英特爾處理器跟蹤)機制對所述目標進程進行跟蹤，并獲得間接跳轉跟蹤數據；

根據所述目標進程的信息，為所述間接跳轉跟蹤數據預先分配物理內存；

當所述間接跳轉跟蹤數據將所述預先分配的物理內存寫滿時，觸發性能監視中斷，且記錄觸發所述性能監視中斷的次數；

當觸發所述性能監視中斷的次數達到預設觸發次數后，根據達到所述預設觸發次數前的所述間接跳轉跟蹤數據構建基線；

在構建所述基線后，當所述性能監視中斷再次被觸發時，根據新產生的所述間接跳轉跟蹤數據構建間接跳轉序列表；

當所述目標進程進入系統調用時，，對比所述間接跳轉序列表和所述基線，根據對比結果檢測所述目標進程是否是ROP攻擊所產生的進程。

在其中一些實施例中，所述根據所述目標進程的信息，為所述間接跳轉跟蹤數據預先分配物理內存，包括：

根據所述目標進程的信息，獲取所述目標進程的內核進程描述結構；

根據所述內核進程描述結構，為所述間接跳轉跟蹤數據預先分配物理內存。

在其中一些實施例中，所述根據所述內核進程描述結構，為所述間接跳轉跟蹤數據預先分配物理內存，包括：

根據所述內核進程描述結構，獲取所述目標進程的頁目錄地址；

根據所述頁目錄地址，為所述間接跳轉跟蹤數據預先分配物理內存。