緩沖區(qū)溢出攻擊檢測(cè)裝置、方法和安全防護(hù)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及系統(tǒng)安全檢測(cè)領(lǐng)域，尤其涉及一種緩沖區(qū)溢出攻擊檢測(cè)裝置、方法和安全防護(hù)系統(tǒng)。
【背景技術(shù)】
[0002]緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用緩沖區(qū)溢出攻擊執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。
[0003]為了檢測(cè)緩沖區(qū)溢出攻擊，一種現(xiàn)有的檢測(cè)方法是:對(duì)目標(biāo)進(jìn)程進(jìn)行全地址空間掃描，分析其中是否存在用于實(shí)現(xiàn)緩沖區(qū)溢出的攻擊代碼(SHELLC0DE)。例如，基于內(nèi)存搜索進(jìn)行SHELLC0DE監(jiān)測(cè)，可以檢測(cè)復(fù)雜的應(yīng)用文檔格式中編碼、加密藏匿的SHELLC0DE。但是，由于進(jìn)程內(nèi)存中正?？蓤?zhí)行代碼和SHELLC0DE同時(shí)存在，二者代碼相似，識(shí)別難度大；并且，進(jìn)程的內(nèi)存被掃描時(shí)，惡意代碼可能未被解碼，SHELLC0DE無法被檢測(cè)到，漏報(bào)率高。
[0004]另一種現(xiàn)有的檢測(cè)方法是:對(duì)目標(biāo)程序的輸入數(shù)據(jù)(文件、網(wǎng)絡(luò)等)進(jìn)行分析，解析輸入數(shù)據(jù)(如PDF文件、DOC文件、網(wǎng)絡(luò)數(shù)據(jù)包等)，識(shí)別其中是否存在SHELLC0DE。例如，目前主流的殺毒軟件可以直接對(duì)PDF等格式的文件進(jìn)行解析，然后直接進(jìn)行規(guī)則匹配，以判定目標(biāo)文件是否存在SHELLC0DE ;也有的殺毒軟件自行實(shí)現(xiàn)了腳本引擎的部分功能，在解析出PDF文件中的腳本后，加以執(zhí)行，然后進(jìn)行規(guī)則匹配，以判定目標(biāo)文件是否存在SHELLC0DE。但是，這種方法需要深入分析文件或網(wǎng)絡(luò)數(shù)據(jù)包格式，對(duì)于非公開的文件格式及網(wǎng)絡(luò)數(shù)據(jù)包，難度極大；并且，原始輸入數(shù)據(jù)中的SHELLC0DE可能經(jīng)過加密，編碼等躲避技術(shù)處理，只在運(yùn)行過程中才會(huì)恢復(fù)原始SHELLC0DE ;此外，SHELLC0DE可能存在于非腳本區(qū)域，僅對(duì)腳本區(qū)域進(jìn)行分析，無法實(shí)現(xiàn)檢測(cè)。
[0005]綜上所述，現(xiàn)有檢測(cè)緩沖區(qū)溢出攻擊的方法,檢測(cè)難度大,漏檢率高。

【發(fā)明內(nèi)容】

[0006]摶術(shù)問是頁
[0007]有鑒于此，本發(fā)明要解決的技術(shù)問題是，如何降低緩沖區(qū)溢出攻擊的檢測(cè)難度，提高攻擊代碼的檢出率。
[0008]解決方案
[0009]為了解決上述技術(shù)問題，在第一方面，提供了一種緩沖區(qū)溢出攻擊檢測(cè)裝置，包括:
[0010]目標(biāo)進(jìn)程，用于獲取外部輸入數(shù)據(jù)；
[0011]攻擊代碼檢測(cè)模塊，用于執(zhí)行攻擊代碼檢測(cè)，所述攻擊代碼為用于對(duì)緩沖區(qū)進(jìn)行溢出攻擊的代碼；
[0012]所述目標(biāo)進(jìn)程還用于在處理所述外部輸入數(shù)據(jù)時(shí)，如果監(jiān)測(cè)到所述目標(biāo)進(jìn)程對(duì)所述外部輸入數(shù)據(jù)執(zhí)行解碼，則調(diào)用所述攻擊代碼檢測(cè)模塊對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)。
[0013]結(jié)合第一方面，在第一方面的第一種可能的實(shí)施方式中，所述的裝置還包括:
[0014]檢測(cè)調(diào)度模塊，用于啟動(dòng)所述目標(biāo)進(jìn)程；
[0015]掛鉤模塊，用于將所述攻擊代碼檢測(cè)模塊掛鉤到所述目標(biāo)進(jìn)程的關(guān)鍵數(shù)據(jù)處理點(diǎn)，所述關(guān)鍵數(shù)據(jù)處理點(diǎn)為對(duì)所述外部輸入數(shù)據(jù)執(zhí)行腳本解碼所需的分配內(nèi)存動(dòng)作和/或訪問內(nèi)存動(dòng)作；
[0016]所述檢測(cè)調(diào)度模塊還用于控制所述目標(biāo)進(jìn)程加載所述掛鉤模塊；
[0017]加載所述掛鉤模塊之后的所述目標(biāo)進(jìn)程還用于在檢測(cè)到所述關(guān)鍵數(shù)據(jù)處理點(diǎn)時(shí)，調(diào)用所述攻擊代碼檢測(cè)模塊啟動(dòng)攻擊代碼檢測(cè)。
[0018]結(jié)合第一方面或第一方面的第一種可能的實(shí)施方式，在第一方面的第二種可能的實(shí)施方式中，所述目標(biāo)進(jìn)程具體用于調(diào)用所述攻擊代碼檢測(cè)模塊根據(jù)解碼后的攻擊代碼規(guī)則，對(duì)所述解碼后的數(shù)據(jù)進(jìn)行匹配，確定所述解碼后的數(shù)據(jù)中是否存在所述攻擊代碼。
[0019]結(jié)合第一方面或第一方面的第一種可能的實(shí)施方式或第一方面的第二種可能的實(shí)施方式，在第一方面的第三種可能的實(shí)施方式中，所述攻擊代碼檢測(cè)模塊還用于對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)之后，根據(jù)攻擊代碼檢測(cè)的結(jié)果，輸出檢測(cè)日志。
[0020]第二方面，提供了一種安全防護(hù)系統(tǒng)，包括:
[0021]上述第一方面、或第一方面的任意一種可能的實(shí)現(xiàn)方式所提供的緩沖區(qū)溢出攻擊檢測(cè)裝置；
[0022]網(wǎng)絡(luò)安全裝置，用于將獲取的網(wǎng)絡(luò)流量還原成所述外部輸入數(shù)據(jù)；將所述外部輸入數(shù)據(jù)發(fā)送至所述緩沖區(qū)溢出攻擊檢測(cè)裝置；接收所述緩沖區(qū)溢出攻擊檢測(cè)裝置反饋的檢測(cè)結(jié)果；根據(jù)所述檢測(cè)結(jié)果，調(diào)整控制策略。
[0023]第三方面，提供了一種安全防護(hù)系統(tǒng)，包括:
[0024]上述第一方面、或第一方面的任意一種可能的實(shí)現(xiàn)方式所提供的緩沖區(qū)溢出攻擊檢測(cè)裝置；
[0025]應(yīng)用服務(wù)器，用于將提交的文件作為外部輸入數(shù)據(jù)發(fā)送至所述緩沖區(qū)溢出攻擊檢測(cè)裝置；接收所述緩沖區(qū)溢出攻擊檢測(cè)裝置反饋的檢測(cè)結(jié)果；根據(jù)所述檢測(cè)結(jié)果，調(diào)整控制策略。
[0026]第四方面，提供了一種緩沖區(qū)溢出攻擊檢測(cè)方法，包括:
[0027]目標(biāo)進(jìn)程獲取外部輸入數(shù)據(jù)；
[0028]在所述目標(biāo)進(jìn)程處理所述外部輸入數(shù)據(jù)時(shí)，如果監(jiān)測(cè)到所述目標(biāo)進(jìn)程對(duì)所述外部輸入數(shù)據(jù)執(zhí)行解碼，則對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)，所述攻擊代碼為用于對(duì)緩沖區(qū)進(jìn)行溢出攻擊的代碼。
[0029]結(jié)合第四方面，在第四方面的第一種可能的實(shí)施方式中，在所述目標(biāo)進(jìn)程獲取外部輸入數(shù)據(jù)之前，包括:
[0030]啟動(dòng)所述目標(biāo)進(jìn)程；
[0031]將啟動(dòng)攻擊代碼檢測(cè)與所述目標(biāo)進(jìn)程的關(guān)鍵數(shù)據(jù)處理點(diǎn)掛鉤，以使得掛鉤后的所述目標(biāo)進(jìn)程，能夠在檢測(cè)到所述關(guān)鍵數(shù)據(jù)處理點(diǎn)時(shí)，啟動(dòng)攻擊代碼檢測(cè)，所述關(guān)鍵數(shù)據(jù)處理點(diǎn)為對(duì)所述外部輸入數(shù)據(jù)執(zhí)行腳本解碼所需的分配內(nèi)存動(dòng)作和/或訪問內(nèi)存動(dòng)作。
[0032]結(jié)合第四方面或第四方面的第一種可能的實(shí)施方式，在第四方面的第二種可能的實(shí)施方式中，對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)，包括:
[0033]根據(jù)解碼后的攻擊代碼規(guī)則，對(duì)所述解碼后的數(shù)據(jù)進(jìn)行匹配，確定所述解碼后的數(shù)據(jù)中是否存在所述攻擊代碼。
[0034]結(jié)合第四方面或第四方面的第一種可能的實(shí)施方式或第四方面的第二種可能的實(shí)施方式，在第四方面的第三種可能的實(shí)施方式中，對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)之后，包括:
[0035]根據(jù)攻擊代碼檢測(cè)的結(jié)果，輸出檢測(cè)日志。
[0036]有益.效果
[0037]本發(fā)明實(shí)施例的目標(biāo)進(jìn)程在處理外部輸入數(shù)據(jù)時(shí)，如果監(jiān)測(cè)到該目標(biāo)進(jìn)程對(duì)外部輸入數(shù)據(jù)執(zhí)行解碼，可以調(diào)用所述攻擊代碼檢測(cè)模塊對(duì)解碼后的數(shù)據(jù)啟動(dòng)攻擊代碼檢測(cè)，從解碼后的數(shù)據(jù)中更容易檢測(cè)出攻擊代碼，能夠提高攻擊代碼的檢出率。
[0038]根據(jù)下面參考附圖對(duì)示例性實(shí)施例的詳細(xì)說明，本發(fā)明的其它特征及方面將變得清楚。
【附圖說明】
[0039]包含在說明書中并且構(gòu)成說明書的一部分的附圖與說明書一起示出了本發(fā)明的示例性實(shí)施例、特征和方面，并且用于解釋本發(fā)明的原理。
[0040]圖1為本發(fā)明實(shí)施例一的緩沖區(qū)溢出攻擊檢測(cè)裝置的示意圖；
[0041]圖2為本發(fā)明實(shí)施例二的緩沖區(qū)溢出攻擊檢測(cè)裝置的示意圖；
[0042]圖3為本發(fā)明實(shí)施例三的安全防護(hù)系統(tǒng)的示意圖；
[0043]圖4為本發(fā)明實(shí)施例四的安全防護(hù)系統(tǒng)的示意圖；
[0044]圖5為本發(fā)明實(shí)施例五的緩沖區(qū)溢出攻擊檢測(cè)方法的示意圖；
[0045]圖6為本發(fā)明實(shí)施例六的緩沖區(qū)溢出攻擊檢測(cè)方法的示意圖；
[0046]圖7為本發(fā)明實(shí)施例七的緩沖區(qū)溢出攻擊檢測(cè)方法的示意圖；
[0047]圖8為本發(fā)明實(shí)施例八的緩沖區(qū)溢出攻擊檢測(cè)方法的示意圖；
[0048]圖9為本發(fā)明實(shí)施例九的緩沖區(qū)溢出攻擊檢測(cè)裝置的示意圖。
【具體實(shí)施方式】
[0049]以下將參考附圖詳細(xì)說明本發(fā)明的各種示例性實(shí)施例、特征和方面。附圖中相同的附圖標(biāo)記表示功能相同或相似的元件。盡管在附圖中示出了實(shí)施例的各種方面，但是除非特別指出，不必按比例繪制附圖。
[0050]在這里專用的詞“示例性”意為“用作例子、實(shí)施例或說明性”。這里作為“示例性”所說明的任何實(shí)施例不必解釋為優(yōu)于或好于其它實(shí)施例。
[0051]另外，為了更好的說明本發(fā)明，在下文的【具體實(shí)施方式】中給出了眾多的具體細(xì)節(jié)。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，沒有某些具體細(xì)節(jié)，本發(fā)明同樣可以實(shí)施。在一些實(shí)例中，對(duì)于本領(lǐng)域技術(shù)人員熟知的方法、手段、元件和電路未作詳細(xì)描述，以便于凸顯本發(fā)明的主旨。
[0052]實(shí)施例1
[0053]目前，利用攻擊代碼(SHELLC0DE)進(jìn)行緩沖區(qū)溢出攻擊的目標(biāo)主要可以包括瀏覽器、PDF閱讀器、OFFICE軟件等。而SHELLCODE通常會(huì)是以加密數(shù)據(jù)或以編碼數(shù)據(jù)的形式存在于目標(biāo)文件中