[发明专利]基于数据流分析的恶意攻击检测方法

说明书

技术领域

本发明涉及基于数据流分析的恶意攻击检测方法，属于系统安全和网络安全相关领域。本发明用于对运行时程序的动态安全漏洞检测与防护。

背景技术

目前的入侵检测方法可主要分为三类，分别是误用检测、异常检测。误用检测通过对入侵行为进行分析和表示来检测入侵，这种方法一般是将入侵行为表示为一种模式或特征，并根据已知的入侵行为和系统缺陷建立入侵模式特征库，检测时将被监测系统或用户的实际行为模式同入侵模式进行匹配，根据匹配结果来判断是否存在入侵。误用检测对已知入侵有很强的检测能力，其缺点是模式库需要不断更新，而且难以检测出未知入侵。异常检测则是对系统或用户的正常行为轮廓进行分析和表示，当被监测系统或用户的实际行为与其正常行为存在一定差异时，即认为有入侵存在。异常检测的优点是不需要过多有关系统缺陷的知识，具有较强的适应性，能够检测出未知入侵或新出现的入侵模式，但是这种方法存在误报概率高的缺点。

因此，当前迫切需要一种新的恶意攻击检测方法。该方法不需要被监控软件的源代码，能够对各种输入相关的攻击进行没有误报的检测，并且能有效检测各类未知恶意攻击行为。

发明内容

有鉴于此，本发明的目的是提供基于数据流的恶意攻击检测方法。该方法基于对攻击者行为的监控，攻击者要想非法改变程序的执行，必须使某个从正常渠道输入的变量值变为自己的输入。本发明方法关注程序外部输入的数据流，任何外部输入数据都将成为防备的对象。并通过分析、跟踪、检测这些数据的使用，在它们不安全使用时做出正确的判断。而且该方法在宏观上不会打断程序的正常运行，并且在程序代码执行过程中进行指令级监控，不需要程序源文件或是对程序反汇编，也不需要储备和更新规则库并能检测出已知和未知的攻击。

为了达到上述目的，本发明提供了一种基于数据流的恶意攻击检测方法，其特征在于：该方法包括了下述组成部件：

虚拟执行部件：采用反汇编模块生成目标二进制程序汇编指令流，当遇到控制转移指令，或基本块的累计指令数目超出用户定义的范围时，设置为该基本块的结束。然后，虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。

数据标记部件：将任何来自不安全源头的输入数据标记为被感染数据。默认认为来自网络套接字的输入是不安全的，因为对大多数程序来讲网络是最有可能导致攻击的因素。作为扩展，也可以将其它不安全的源头输入标记为被感染数据，如从某些文件或是输入设备输入的数据。

数据追踪部件：在作好感染数据标记工作后，需要将对感染数据的传播进行跟踪，因为受感染数据在被正当使用时，可能造成其他内存的数据也成为感染数据。在此，将追踪因数据移动指令和算术指令导致的数据移动行为和被感染数据。

误用检测部件：正确的标记感染数据，并实时的跟踪感染数据的传播，就能对攻击行为进行检测。检查被感染数据是否如规则所定义的被非法使用。默认规则包含对格式化字符串攻击、改变跳转对象攻击(如返回地址、函数指针、函数指针偏移)的检测。当检测到被感染数据被非法使用，提示可能有攻击发生，并调用漏洞分析部件进一步分析。

漏洞分析部件：感染数据标记和感染数据追踪两个步骤记录的信息展示了感染数据进入系统入口到它如何被非法使用的相关执行路径。通过被感染数据结构跟踪链，可以提供许多信息，包括原始感染数据的输入缓冲区，感染数据被使用时的程序计数器和调用堆栈，实际溢出地点。可以使用这些信息快速分析程序安全漏洞的真实地址和安全漏洞类型。

为了达到上述目的，本发明还提供了一种基于数据流的恶意攻击检测方法，其特征在于：该方法包括了下述操作步骤：

步骤(1)，虚拟执行部件启动被监控程序；

步骤(2)，当接收到外部输入的数据时，数据标记部件标记数据来源，生成感染数据结构；

步骤(3)，数据追踪部件标记传播的被感染数据；

步骤(4)，误用检测部件判断被感染数据的使用是否违反安全规则与配置；

步骤(5)，若存在攻击，则报警，提示攻击；

步骤(6)，漏洞分析部件收集并分析与安全漏洞相关的信息。

总之，本发明方法的优点简述如下：该方法不需要被监控软件的源代码，能够对各种输入相关的攻击进行没有误报的检测，并且能有效检测各类未知恶意攻击行为。

附图说明

图1是本发明用于基于数据流分析的恶意攻击检测方法的流程图。

图2是本发明用于基于数据流分析的恶意攻击检测方法的总体结构框图。

具体实施方式