[发明专利]一种面向返回式编程流量的特征提取方法、装置及设备

说明书

本申请公开了一种面向返回式编程流量的特征提取方法、装置及设备，该方法包括：获取待检测流量，并按照预设维度数量从首字节开始对所述待检测流量中的字节依次循环标记相应的序号；将具有相同序号的字节划分至同一组以得到包含若干组流量数据的第一数据组；利用预设窗口尺寸的滑动窗口分别对第一数据组中的每组流量数据进行滑动窗口取值以得到第二数据组；对第二数据组的各组数据中相同窗口滑动位置的数据取方差以转换为一维数据组，并根据记录的异常方差区域确定出所述待检测流量中的面向返回式编程流量的特征。通过本申请的技术方案，能有效识别攻击数据，提高检测效率，有效降低传统静态系统检测中关注重点字节造成的高误报率。

技术领域

本发明涉及网络流量检测领域，特别涉及一种面向返回式编程流量的特征提取方法、装置及设备。

背景技术

现代操作系统中有比较完善的漏洞缓解机制，可以按照内存页的粒度设置进程的内存使用权限，内存权限分别有可读(R)、可写(W)、可执行(X)，一旦CPU(CentralProcessing Unit，中央处理器)执行了没有可执行权限内存上的代码，操作系统会立刻终止程序。基于漏洞缓解的规则，程序中一般不会存在同时具有可写和可执行权限的内存，所以无法直接通过覆盖内存数据来修改程序的代码段或者数据段来执行引导程序执行任意代码。针对这种漏洞缓解机制，出现了一种通过返回到程序中特定的指令序列进而控制程序执行流程的技术，即面向返回式编程(Return-Oriented Programming，ROP)。该方法通过利用libc代码库中多个以ret指令为结尾的gadget片段组成返回导向编程链(ROP链)实现任意代码执行，其中libc代码库是指包含与代码运行相关的动态库或系统静态库。因此ROP链成为面向返回式编程流量的独特标志，完成对ROP链的检测，就可以完成对面向返回式编程流量的检测。

由于没有注入的二进制代码，传统技术难以检测ROP流量。ROP代码的一个关键特征是依赖代码段中的gadget。当前ROP流量的检测通常考虑首先初始化目标进程，识别代码段内存地址范围，然后扫描输入数据，检查输入中是否有位于任何受保护应用程序的gadget空间内的数据，但此类方法检测率低，运行时间开销高。为了提高检测效率，有研究者尝试使用静态方法来检测，但在网络大流量的环境下，没有合适的特征提取方法，误报率也较高。

综上，如何有效提取面向返回式编程流量的特征，进一步提高检测效率是目前亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种面向返回式编程流量的特征提取方法、装置及设备，能够有效地识别面向返回式编程流量的数据，提高检测效率，对面向返回式编程流量数据进行合适的特征提取。其具体方案如下：

第一方面，本申请公开了一种面向返回式编程流量的特征提取方法，包括：

获取待检测流量，并按照预设维度数量从首字节开始对所述待检测流量中的字节依次循环标记相应的序号；

将所述待检测流量中具有相同序号的字节划分至同一组，以得到包含若干组流量数据的第一数据组；所述第一数据组中的流量数据的组数与所述预设维度数量相一致；

利用预设窗口尺寸的滑动窗口分别对所述第一数据组中的每组流量数据进行滑动窗口取值，以得到具有相应组数的数据的第二数据组；

对所述第二数据组的各组数据中相同窗口滑动位置的数据取方差，以将所述第二数据组转换为一维数据组，并根据所述一维数据组中记录的异常方差区域确定出所述待检测流量中的面向返回式编程流量的特征。

可选的，所述获取待检测流量之前，还包括：

获取待处理流量数据；

去除所述待处理流量数据的协议头部信息，并保留所述待处理流量数据中的有效载荷以得到所述待检测流量。

可选的，所述按照预设维度数量从首字节开始对所述待检测流量中的字节依次循环标记相应的序号，包括：