基于指令集随机化的代码注入型攻击防御技术.pdf

第３３卷第５期　　　 计算机应用与软件 Ｖｏｌ３３Ｎｏ．５ ６ ２０１６年５月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｍａｙ２０１ 基于指令集随机化的代码注入型攻击防御技术 王奕森　舒　辉　谢耀滨　赵利军 （信息工程大学数学工程与先进计算国家重点实验室　河南郑州４５０００１） 摘　要　　针对当前代码注入型攻击防御机制容易被绕过的现状，提出一种基于指令集随机化的防御技术。该技术制定了指令集 随机化规则，利用该规则改变ｏｂｊ文件中的指令，从而实现了指令集的随机化。外部注入代码与生成的指令集不兼容，经过动态二 进制分析平台翻译后，程序代码正常执行而注入代码变为乱码。基于该技术设计了一套原型系统，并通过大量实验表明可以防御大 部分代码注入型攻击。该技术打破了缓冲区溢出漏洞利用所需要的稳态环境，实现了对攻击的主动防御。 关键词　　代码注入型攻击　指令集随机化　动态二进制分析　主动防御 中图分类号　ＴＰ３０９．１　　　　文献标识码　Ａ　　　　ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００３８６ｘ．２０１６．０５．０７７ ＤＥＦＥＮＳＥＴＥＣＨＮＯＬＯＧＹＡＧＡＩＮＳＴＣＯＤＥＩＮＪＥＣＴＩＯＮＡＴＴＡＣＫＳＢＡＳＥＤ ＯＮＩＮＳＴＲＵＣＴＩＯＮＳＥＴＲＡＮＤＯＭＩＳＡＴＩＯＮ ＷａｎｇＹｉｓｅｎ　ＳｈｕＨｕｉ　ＸｉｅＹａｏｂｉｎ　ＺｈａｏＬｉｊｕｎ （ＳｔａｔｅＫｅｙＬａｂｏｒａｔｏｒｙｏｆＭａｔｈｅｍａｔｉｃａｌＥｎｇｉｎｅｅｒｉｎｇａｎｄＡｄｖａｎｃｅｄＣｏｍｐｕｔｉｎｇ，ＰＬＡＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｚｈｅｎｇｚｈｏｕ４５０００１，Ｈｅｎａｎ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｆｏｒｃｕｒｒｅｎｔｓｔａｔｕｓｑｕｏｔｈａｔｃｏｄｅｉｎｊｅｃｔｉｏｎａｔｔａｃｋｄｅｆｅｎｓｅｍｅｃｈａｎｉｓｍｓａｒｅｅａｓｉｌｙｂｙｐａｓｓｅｄｂｙａｔｔａｃｋｅｒｓ，ｗｅｐｒｏｐｏｓｅｄａｎｅｗ ｄｅｆｅｎｓｅｔｅｃｈｎｏｌｏｇｙｗｈｉｃｈｉｓｂａｓｅｄｏｎｉｎｓｔｒｕｃｔｉｏｎｓｅｔｒａｎｄｏｍｉｓａｔｉｏｎ．Ｉｎｔｈｉｓｔｅｃｈｎｏｌｏｇｙ，ｗｅｄｒｅｗｕｐｒａｎｄｏｍｉｓａｔｉｏｎｒｕｌｅｓｏｆｉｎｓｔｒｕｃｔｉｏｎｓｅｔ，ｔｈａｔ ｃｏｕｌｄｂｅｕｓｅｄｔｏｃｈａｎｇｅｔｈｅｉｎｓｔｒｕｃｔｉｏｎｓｉｎｏｂｊｓｆｉｌｅｓｓｏａｓｔｏｉｍｐｌｅｍｅｎｔｔｈｅｒａｎｄｏｍｉｓａｔｉｏｎｏｆｉｎｓｔｒｕｃｔｉｏｎｓｅｔ．Ｔｈｅｅｘｔｅｒｎａｌｉｎｊｅｃｔｉｏｎｃｏｄｅｓａｒｅ ｎｏｔｃｏｍｐａｔｉｂｌｅｗｉｔｈｔｈｅｇｅｎｅｒａｔｅｄｉｎｓｔｒｕｃｔｉｏｎｓｅｔ，ｗｈｅｎｔｒａｎｓｌａｔｅｄｂｙｔｈｅｄｙｎａｍｉｃｂｉｎａｒｙａｎａｌｙｓｉｓｐｌａｔｆｏｒｍ，ｔｈｅｐｒｏｇｒａｍｃｏｄｅｓｃａｎｂｅｅｘｅｃｕｔｅｄ ａｓｕｓｕａｌｂｕｔｔｈｅｉｎｊｅｃｔｅｄｃｏｄｅｓｂｅｃｏｍｅｔｈｅｄｉｓｏｒｄｅｒｅｄｃｏｄｅｓ．Ｂａｓｅｄｏｎｔｈｉｓｔｅｃｈｎｏｌｏｇｙｗｅｄｅｓｉｇｎｅｄａｓｅｔｏｆｐｒｏｔｏｔｙｐｅｓｙｓｔｅｍｓ，ａｎｄ ｄｅｍｏｎｓｔｒａｔｅｄｔｈｒｏｕｇｈａｌａｒｇｅｎｕｍｂｅｒｏｆｅｘｐｅｒｉｍｅｎｔｓｔｈａｔｉｔｗａｓａｂｌｅｔｏｄｅｆｅｎｓｅｍｏｓｔｏｆｃｏｄｅｉｎｊｅｃｔｉｏｎａｔｔａｃｋｓ．Ｔｈｉｓｔｅｃｈｎｏｌｏｇｙｂｒｅａｋｓｔｈｒｏｕｇｈ ｔｈｅｓｔｅａｄｙｅｎｖｉｒｏｎｍｅｎｔｎｅｅｄｅｄｂｙｅｘｐｌｏｉｔｉｎｇｔｈｅｂｕｆｆｅｒｏｖｅｒｆｌｏｗｖｕｌｎｅｒａｂｉｌｉｔｉｅｓａｎｄａｃｈｉｅｖｅｓｔｈｅｐｒｏａｃｔｉｖｅｄｅｆｅｎｓｅａｇａｉｎｓｔａｔｔａｃｋｓ． Ｋｅｙｗｏｒｄｓ　　Ｃｏｄｅｉｎｊｅｃｔｉｏｎａｔｔａｃｋ　Ｉｎｓｔｒｕｃｔｉｏｎｓｅｔｒａｎｄｏｍｉｓａｔｉｏｎ　Ｄｙｎａｍｉｃｂｉｎａｒｙａｎａｌｙｓｉｓ　Ｐｒｏａｃｔｉｖｅｄｅｆｅｎｓｅ