CN109558726A - 一种基于动态分析的控制流劫持攻击检测技术与系统 - Google Patents

Abstract

本发明涉及基于二进制代码流的漏洞攻击检测技术领域，尤其涉及Windows操作系统下的漏洞攻击检测系统。该技术采用了动态二进制插桩技术对程序进行运行时监控，具体内容包括：详细分析控制流劫持攻击的实现原理和具体流程，总结出应用程序因控制流劫持攻击造成的主要异常行为；无需在运行目标程序前进行其他操作，使用二进制插桩技术提取程序运行时信息进行实时的攻击检测；记录攻击的详细信息用于程序漏洞分析；在确定攻击的第一时间终止程序运行，阻止攻击进一步行为。本发明为控制流劫持攻击检测提供了新的解决方案。

Description

一种基于动态分析的控制流劫持攻击检测技术与系统

技术领域

本发明涉及基于二进制代码流的漏洞攻击检测技术领域，尤其涉及Windows 操作系统下的漏洞攻击检测系统。

背景技术

从1988年的morris蠕虫病毒到2017年的wannacry勒索病毒足以可见网络空间安全的严峻态势。据CNVD2017年的收录漏洞类型统计，应用程序漏洞占比高达59.2％，并且漏洞数量在逐年增多。尽管各大软件厂商在不断改进和完善软件开发质量管理，但软件漏洞问题仍无法彻底消除。

应用程序漏洞的利用方式多种多样，而控制流劫持攻击是最常见的一种。控制流劫持攻击允许攻击者破坏程序的控制数据，通常将执行流重定向到攻击者自己的注入代码。通过执行恶意代码能够完全控制程序和系统，造成极大的危害。目前的操作系统中部署了地址空间布局随机化(Address Space Layout Randomization,ASLR)、数据执行保护(Data Execution Protection,DEP)、结构化异常处理安全校验(Safe StructuredException Handling，SafeSEH) 等安全机制，一定程度上缓解了控制流劫持攻击对软件和系统的危害。但是，因为系统环境的多样性，攻击者仍然能够找到绕过这些安全机制的方法,实现恶意攻击。

为了解决以上安全问题，我们提出了一个基于动态分析的控制流劫持攻击检测系统。通过对控制流劫持攻击的原理和具体流程的分析，提出一种通用性很好的控制流劫持攻击检测方案。传统的控制流完整性策略CFI虽然能够有效的防御控制流劫持攻击，但是难以在实际环境中部署。其主要原因有两点：一是CFG 的构造困难，完整的CFG构造需要依赖程序源码，对于复杂的程序而言更是难以实现。二是需要检查程序中的每一个间接控制转移，细粒度的检测会引起非常大的开销。动态污点分析技术在实际检测中存在过污染、欠污染等问题，所以效率较低且精度不高。因此我们需要一种高效且易于部署的控制流劫持攻击检测方法，能够在实际环境中防御控制流劫持攻击。

发明内容

“CFHADS:基于动态分析的控制流劫持攻击检测系统”是在漏洞攻击检测技术研究过程中针对迄今为止存在的技术问题和不足所提出的发明。本发明的一个目标是改进现有的软件漏洞攻击检测技术(控制流完整性、动态污点分析技术) 复杂且难以部署到实际环境中的弱点，提供一种轻便高效的漏洞攻击检测技术，实现在实际应用环境中防御控制流劫持攻击。传统的控制流完整性策略CFI虽然能够有效的防御控制流劫持攻击，但是需要依赖源码和静态分析技术来构造完整的CFG。动态污点技术通过对污点数据的传播监控能够有效的检测漏洞攻击，却会引起极大的开销。本发明提供了一种全新的基于动态分析的漏洞攻击检测思路，不需要依赖源码和静态分析进行预处理，仅需要在程序运行时对于异常行为进行监控。该方法能够成功检测控制流劫持攻击，效率高，较传统的漏洞攻击检测技术有良好的性能开销，更易于部署。

为了实现上述目标，本发明提供了一种基于动态分析的控制流劫持攻击检测系统，该系统能够有效的识别控制流劫持攻击，并且能够记录攻击的具体流程和及时制止攻击。该系统包含了：管理端，对检测过程和检测结果进行管理，并提供一个用户交互界面；动态信息提取器，提取程序运行时信息用于检测分析，为了减少性能影响，只对需要的关键信息进行提取；异常行为检测器，实现异常行为：栈执行、ROP攻击、SEH异常和内存访问异常的检测；攻击处理模块，记录和保存攻击的详细信息，阻止攻击的进一步操作。

附图说明

从下面结合附图的详细描述中，将会更清楚的理解本发明的目标、实现方法、有点和特性，其中。

图1是一个展示本发明的基于动态分析的控制流劫持攻击检测系统的架构图。

图2是一个展示本发明的管理端内部组成单元的方框图。

图3是一个展示本发明的动态信息提取器内部组成单元的方框图。

图4是一个展示本发明的异常行为检测器内部组成单元的方框图。

图5是一个展示本发明的攻击处理模块内部组成单元的方框图。

图6是一个说明本发明的控制流劫持攻击检测系统完整工作流程的流程图。

具体实施方式

本发明中用于检测控制流劫持攻击，下面结合附图对本发明做进一步的说明。本发明旨在提供一个基于动态分析的控制流劫持攻击阿静系统，能够简单、高效的检测到控制流劫持攻击，可以方便的部署到实际应用环境中，在实际应用环境中防御控制流劫持攻击。

图1是一个描述本发明系统组成的架构图。

如图1所示，检测系统的核心是管理端，将其他模块整合起来，使得整个系统各功能融洽的衔接起来，同时提供了一个用户交互界面，用户可以通过该界面启动目标程序并输入被检测样本或者数据，并且可以查看检测结果；其他模块分别为动态信息提取模块、异常行为检测器模块和攻击处理模块。

图2是一个描述管理端内部组成单元的示意图。

如图2中所示，管理端由逻辑控制单元和用户界面单元组成。逻辑控制单元负责控制整个系统的运行逻辑，通过逻辑控制单元将各个功能模块联系起来，协同工作，实现控制流劫持攻击检测的功能。用户界面单元则是系统与用户交互的平台，通过该单元，用户可以提交想要进行检测的可疑样本，启动目标程序运行，查看检测结果。

图3是一个展示动态信息提取器内部组成单元的示意图。

如图3所示，动态信息提取器基于二进制插桩工具pin实现，由二进制插桩单元和运行时信息提取单元组成。二进制插桩单元主要对目标程序进行指令插桩、函数插桩、模块插桩和线程插桩，为了使性能影响最小，只插桩关键指令 call和ret，只插桩敏感函数KiUserExceptionDisPatcher。运行时信息提取单元除了依赖于插桩获取程序执行的指令信息、KiUserExceptionDisPatcher函数的参数信息外，还通过pin提供的丰富的API获取程序运行时的上下文信息，内存空间信息。

图4是一个展示异常行为检测器内部组成单元示意图。

如图4所示，异常行为检测器由栈执行检测单元、ROP攻击检测单元、SEH 异常检测单元和内存访问异常检测单元组成。每个异常行为的产生原理不同，因此为每个异常行为针对性的设计检测策略。栈执行单元检测单元将栈空间中执行代码判定为攻击；ROP将连续11个与call指令不匹配的ret指令判定为攻击； SEH异常检测单元在程序进行结构化异常处理时检查SEH链表的完整性，SEH链表遭受破坏判定为攻击；内存访问异常检测单元同样以结构化异常处理为起点，通过KiUserExceptionDispatcher函数获取程序异常类型，将内存访问异常判定为攻击。

图5是一个展示攻击处理模块内部组成单元示意图。

如图5所示，攻击处理模块由攻击信息记录单元、攻击制止单元组成。攻击信息记录单元在确定攻击后保存攻击的详细信息，包括异常偏移、异常指令、异常类型、程序运行时上下文以及与攻击点最近的函数调用关系，这些信息用于对攻击的进一步分析。攻击制止单元在确定攻击时强制程序退出，组织攻击进一步执行恶意代码和实施恶意操作。

图6是一个展示了控制流劫持攻击检测系统完整工作流程的流程图。

如图6中所示，用户通过管理端的用户交互界面向系统提交可疑样本，系统会先对用户提交的可疑样本是否已经检测进行判断。如果样本已经检测，直接显示已经记录的检测结果。如果样本没有检测，系统加载目标程序进行二进制插桩并启动。动态信息提取模块获取程序运行时信息，主要包括指令信息、函数信息、模块信息、上下文信息。异常行为检测模块根据动态信息提取模块提供的程序运行时信息，实时的检查程序的栈空间异常、ret指令异常、内存访问异常和SEH 的完整性。在确定攻击后，攻击处理模块首先保存攻击发生时的程序上下文信息，然后终止程序运行以阻止攻击进一步执行恶意代码。

如上所述，本发明完全基于动态分析技术实现控制流劫持攻击检测，其优点在于：1、本发明能够进行程序异常行为的自动识别，用户只需在检测系统下启动目标程序，无需任何的预处理。2、本发明找到了一个零知识的漏洞攻击检测点，也就是不需要知道攻击者利用了什么类型的漏洞、采取了怎样的攻击方式、实施怎样的恶意操。3、能够记录攻击的详细信息，用于对攻击和漏洞进一步分析。4、能够防御已公开的漏洞攻击和未公开的漏洞攻击。5、通用性更好，解决了传统控制流完整性策略和动态污点分析技术的繁琐、耗时、开销大的问题。6、系统体积轻便，能方便的部署到实际应用环境中。

尽管出于说明的目的描述了本发明的优选实施例子，本领域人员将理解，在不脱离如附属权利要求所披露的本发明的范围和精神的情况下，各种修改、增加和替换都是可能的。

Claims (10)

1.一种基于动态分析的控制流劫持攻击检测技术,其特征在于,所述方法包括如下步骤:

A、分析异常行为，制定判定准则；

C、提取程序运行时信息；

D、根据判定准则和提取到的程序运行时行为特征进行检测。

2.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，所述的步骤A进一步包括如下步骤：

A1、分析控制流劫持攻击的流程；

A2、整理控制流劫持攻击的行为特征；

A3、依据行为特征制定判定准则。

3.根据权利要求2所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤A2中所述的控制流劫持攻击的行为特征具体是指：

1)执行恶意代码。完整的控制流劫持攻击最后必然会执行恶意代码，而恶意代码的存在形式有两种。一种是攻击者精心构造、然后注入到应用程序内存空间中的恶意代码，主要表现形式为栈空间恶意代码执行和堆空间恶意代码执行。另一种是程序本身存在、然后被攻击者按照一定规则利用的恶意代码，主要表现形式为ROP攻击。

2)SEH利用。控制流劫持攻击的关键步骤是劫持程序的EIP，一种巧妙的利用方式是利用Windows系统下的结构化异常处理SEH。覆盖结构化异常处理函数的地址，破坏了SEH链表的完整性。

3)内存访问异常。控制流劫持攻击构造的恶意载体一般是针对特定版本的操作系统和应用程序，而现实世界中系统环境多种多样，因此恶意数据在应用程序的内存空间中不能按攻击者所想进行布局，导致应用程序出现内存访问异常甚至崩溃。

4.根据权利要求2所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤A3中所述的判定准则具体是指：

1)栈空间执行代码；

2)出现ROP攻击；

2)SEH链表结构不完整；

3)出现内存访问异常。

5.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，所述的步骤B进一步包括如下步骤：

B1、对目标程序进行二进制插桩；

B2、获取目标程序运行时信息。

6.根据权利要求5所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤B2中所述的目标程序运行时信息具体是指：

目标程序指令执行、模块加载、线程创建、敏感函数调用、程序上下文和内存空间数据。

7.根据权利要求1所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，所述的步骤C进一步包括如下步骤：

C1、获取当前线程的栈空间地址范围，判断是否为栈空间恶意代码执行；

C2、构建影子栈，识别ROP攻击；

C3、获取KiUserExceptionDispatcher函数的参数，分析程序异常类型，识别内存访问异常。

C4、获取SEH链表，进行SEH完整性判断。

8.根据权利要求7所述的一种基于动态分析的控制流劫持攻击检测技术，其特征在于，步骤C2中所述的识别ROP攻击的具体方法为：

为目标程序的每一个线程创建一个影子栈。当程序执行call指令时，将call指令下一条指令的地址压入到影子栈中。当程序执行ret指令时，检测ret指令的目的地址是否在影子栈中以判断是否有与ret指令匹配的call指令。如果目的地址不在影子栈，将当前的ret指令标识为异常，将出现连续的11个ret异常判定为ROP攻击。

9.CFHADS:基于动态分析的控制流劫持攻击检测系统，其特征在于，所述的系统包括：

D、管理端

E、动态信息提取器

F、异常行为检测器

G、攻击处理模块

其特征在于，所述的系统还包括

D1、逻辑控制单元，用于整个系统的运行逻辑，实现系统各部分间的相互配合和整体功能的实现；

D2、用户界面单元，用于实现系统与用户的交互，用户通过该单元启动目标程序和获取检测结果；

E1、二进制插桩单元，对目标程序进行指令插桩、函数插桩、模块插桩和线程插桩；

E2、运行时信息提取和记录单元，获取程序运行时信息，将关键信息保存(如关键API的参数，函数的调用流程)；

F1、栈执行检测单元；

F2、ROP检测单元；

F3、SEH异常检测单元，该单元以KiUserExceptionDispacher函数的调用为起点，同时检测SEH利用和内存访问异常；

G1、记录攻击信息，保存检测到攻击时应用程序相关信息，具体包括：异常偏移、异常指令、异常类型、异常之前的转移指令等。

G2、制止攻击，在确定为控制流劫持攻击造成的程序异常行为后，强制程序退出，阻止攻击的进一步操作。

10.CFHADS:基于动态分析的控制流劫持攻击检测系统，其特征在于，用户可以不进行任何分析，只需用CFHADS启动目标程进行正常操作，CFHADS会自动识别程序异常、报告异常、记录异常信息并制止攻击。