本申請公開了一種面向返回式編程流量的特征提取方法、裝置及設備，該方法包括：獲取待檢測流量，并按照預設維度數量從首字節(jié)開始對所述待檢測流量中的字節(jié)依次循環(huán)標記相應的序號；將具有相同序號的字節(jié)劃分至同一組以得到包含若干組流量數據的第一數據組；利用預設窗口尺寸的滑動窗口分別對第一數據組中的每組流量數據進行滑動窗口取值以得到第二數據組；對第二數據組的各組數據中相同窗口滑動位置的數據取方差以轉換為一維數據組，并根據記錄的異常方差區(qū)域確定出所述待檢測流量中的面向返回式編程流量的特征。通過本申請的技術方案，能有效識別攻擊數據，提高檢測效率，有效降低傳統(tǒng)靜態(tài)系統(tǒng)檢測中關注重點字節(jié)造成的高誤報率。

技術領域

本發(fā)明涉及網絡流量檢測領域，特別涉及一種面向返回式編程流量的特征提取方法、裝置及設備。

背景技術

現(xiàn)代操作系統(tǒng)中有比較完善的漏洞緩解機制，可以按照內存頁的粒度設置進程的內存使用權限，內存權限分別有可讀(R)、可寫(W)、可執(zhí)行(X)，一旦CPU(CentralProcessing Unit，中央處理器)執(zhí)行了沒有可執(zhí)行權限內存上的代碼，操作系統(tǒng)會立刻終止程序?；诼┒淳徑獾囊?guī)則，程序中一般不會存在同時具有可寫和可執(zhí)行權限的內存，所以無法直接通過覆蓋內存數據來修改程序的代碼段或者數據段來執(zhí)行引導程序執(zhí)行任意代碼。針對這種漏洞緩解機制，出現(xiàn)了一種通過返回到程序中特定的指令序列進而控制程序執(zhí)行流程的技術，即面向返回式編程(Return-Oriented Programming，ROP)。該方法通過利用libc代碼庫中多個以ret指令為結尾的gadget片段組成返回導向編程鏈(ROP鏈)實現(xiàn)任意代碼執(zhí)行，其中l(wèi)ibc代碼庫是指包含與代碼運行相關的動態(tài)庫或系統(tǒng)靜態(tài)庫。因此ROP鏈成為面向返回式編程流量的獨特標志，完成對ROP鏈的檢測，就可以完成對面向返回式編程流量的檢測。

由于沒有注入的二進制代碼，傳統(tǒng)技術難以檢測ROP流量。ROP代碼的一個關鍵特征是依賴代碼段中的gadget。當前ROP流量的檢測通?？紤]首先初始化目標進程，識別代碼段內存地址范圍，然后掃描輸入數據，檢查輸入中是否有位于任何受保護應用程序的gadget空間內的數據，但此類方法檢測率低，運行時間開銷高。為了提高檢測效率，有研究者嘗試使用靜態(tài)方法來檢測，但在網絡大流量的環(huán)境下，沒有合適的特征提取方法，誤報率也較高。

綜上，如何有效提取面向返回式編程流量的特征，進一步提高檢測效率是目前亟待解決的問題。

發(fā)明內容

有鑒于此，本發(fā)明的目的在于提供一種面向返回式編程流量的特征提取方法、裝置及設備，能夠有效地識別面向返回式編程流量的數據，提高檢測效率，對面向返回式編程流量數據進行合適的特征提取。其具體方案如下：

第一方面，本申請公開了一種面向返回式編程流量的特征提取方法，包括：

獲取待檢測流量，并按照預設維度數量從首字節(jié)開始對所述待檢測流量中的字節(jié)依次循環(huán)標記相應的序號；

將所述待檢測流量中具有相同序號的字節(jié)劃分至同一組，以得到包含若干組流量數據的第一數據組；所述第一數據組中的流量數據的組數與所述預設維度數量相一致；

利用預設窗口尺寸的滑動窗口分別對所述第一數據組中的每組流量數據進行滑動窗口取值，以得到具有相應組數的數據的第二數據組；

對所述第二數據組的各組數據中相同窗口滑動位置的數據取方差，以將所述第二數據組轉換為一維數據組，并根據所述一維數據組中記錄的異常方差區(qū)域確定出所述待檢測流量中的面向返回式編程流量的特征。

可選的，所述獲取待檢測流量之前，還包括：

獲取待處理流量數據；

去除所述待處理流量數據的協(xié)議頭部信息，并保留所述待處理流量數據中的有效載荷以得到所述待檢測流量。

可選的，所述按照預設維度數量從首字節(jié)開始對所述待檢測流量中的字節(jié)依次循環(huán)標記相應的序號，包括：