本發明提供一種攻擊代碼檢測方法、裝置、電子設備、程序和存儲介質，獲取系統中進程棧范圍內的調用函數的返回地址，若存在返回地址不屬于用于存儲系統可執行文件的系統配置地址，則確定系統存在攻擊代碼。通過獲取調用函數的返回地址直接實現對攻擊代碼的檢測，無需建立特征庫，識別過程簡單，有利于提升對攻擊代碼的識別效率。

技術領域

本發明涉及信息安全防護技術領域，尤其涉及一種攻擊代碼檢測方法、裝置、電子設備、程序和存儲介質。

背景技術

網絡設備不可避免的會存在漏洞，攻擊者會利用這些漏洞構造一段攻擊代碼對網絡設備進行攻擊。例如，攻擊者會通過攻擊代碼在網絡設備中實現權限提升、執行程序、連接遠程機器等操作，從而達到任意控制網絡設備的目的。例如，用于攻擊的Linux服務器的攻擊代碼shellcode。

現有技術中需要事先學習系統調用的調用鏈序列，并建立正常行為特征庫，然后將系統的系統調用的序列和正常序列特征庫進行匹配來識別漏洞利用行為。然而這種方法具有如下缺點：需要事先學習建立特征庫，必須保證學習過程中沒有漏洞利用行為；匹配邏輯較復雜，必定比較消耗過多的系統資源?？梢姮F有的攻擊代碼識別的方法需要基于大量數據建立特征庫，識別過程比較復雜，識別效率較低。

發明內容

本發明提供一種攻擊代碼檢測方法、裝置、電子設備、程序和存儲介質，用以解決可見現有的攻擊代碼識別的方法需要基于大量數據建立特征庫，識別過程比較復雜，識別效率較低的缺陷，實現通過簡單的方式識別攻擊代碼，提高識別效率。

本發明提供一種攻擊代碼檢測方法，包括：

獲取調用函數的返回地址；其中，所述調用函數為被系統的目標進程調用的函數；

若所述返回地址不屬于系統配置地址，則所述系統中存在攻擊代碼；所述系統配置地址為目標進程加載的可執行文件的代碼段地址。

根據本發明提供一種攻擊代碼檢測方法，在上述基礎上，在獲取調用函數的返回地址之前，所述方法還包括：

獲取監測函數是否被調用的監測信息；其中，所述監測函數根據攻擊代碼對函數的歷史調用信息確定；

若所述監測信息為監測函數被調用，則將調用所述監測函數的進程作為所述目標進程。

根據本發明提供一種攻擊代碼檢測方法，在上述基礎上，所述獲取調用函數的返回地址，包括：

從內核中獲取所述調用函數的函數棧幀，和/或從應用層獲取所述調用函數的函數棧幀；

根據調用函數的函數棧幀獲取所述返回地址。

根據本發明提供一種攻擊代碼檢測方法，在上述基礎上，所述從內核中獲取所述調用函數的函數棧幀，包括：

從內核棧中獲取所述目標進程陷入內核時，保存在內核棧中的用戶態上下文結構；

根據所述用戶態上下文結構確定所述目標進程棧范圍內首個函數棧幀的基地址，作為第一基地址；

自所述第一基地址開始獲取所述目標進程棧范圍內的每一函數棧幀，得到所述調用函數的函數棧幀。

根據本發明提供一種攻擊代碼檢測方法，在上述基礎上，所述從應用層獲取所述調用函數的函數棧幀，包括：

從應用層的用戶棧中獲取所述目標進程棧范圍內首個函數棧幀的基地址，作為第二基地址；

自所述第二基地址開始獲取所述目標進程棧范圍內的每一函數棧幀，得到所述調用函數的函數棧幀。

根據本發明提供一種攻擊代碼檢測方法，在上述基礎上，在所述返回地址不屬于系統配置地址之前，還包括：