主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第10期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
陈志锋,李清宝,张平,王烨.面向Linux的内核级代码复用攻击检测技术.软件学报,2017,28(7):1732-1745
面向Linux的内核级代码复用攻击检测技术
Kernel Code Reuse Attack Detection Technique for Linux
投稿时间:2015-09-20  修订日期:2015-12-31
DOI:10.13328/j.cnki.jos.005058
中文关键词:  代码复用攻击  内核  控制流完整性  插桩  约束规则
英文关键词:code reuse attack  kernel  control flow integrity  instrumentation  constraint rule
基金项目:“核高基”国家科技重大专项(2013JH00103);国家高技术研究发展计划(863)(2009AA01Z434)
作者单位E-mail
陈志锋 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
xiaohouzi06@163.com 
李清宝 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
张平 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
王烨 解放军信息工程大学, 河南 郑州 450001
数学工程与先进计算国家重点实验室, 河南 郑州 450001 
 
摘要点击次数: 1399
全文下载次数: 1003
中文摘要:
      近年来,代码复用攻击与防御成为安全领域研究的热点.内核级代码复用攻击使用内核自身代码绕过传统的防御机制.现有的代码复用攻击检测与防御方法多面向应用层代码复用攻击,忽略了内核级代码复用攻击.为有效检测内核级代码复用攻击,提出了一种基于细粒度控制流完整性(CFI)的检测方法.首先根据代码复用攻击原理和正常程序控制流构建CFI约束规则,然后提出了基于状态机和CFI约束规则的检测模型.在此基础上,基于编译器,辅助实现CFI标签指令插桩,并在Hypervisor中实现CFI约束规则验证,提高了检测方法的安全性.实验结果表明,该方法能够有效检测内核级代码复用攻击,并且性能开销不超过60%.
英文摘要:
      Recently, code reuse attack and defensive techniques have been a hot area in security research. Kernel-Level code reuse attacks use kernel code to bypass traditional defensive mechanisms. Existing code reuse attacks detection and defensive methods mainly focus on user-level code reuse attacks, ignoring kernel-level code reuse attacks. In order to detect kernel-level code reuse attacks effectively, a detection method based on fine-grained control flow integrity (CFI) is proposed. Firstly, CFI constraint rules are constructed according to the code reuse attack principles and the control flows of normal programs. Then, a detection model based on state machine and CFI constraint rules is developed. Next, CFI label checking instructions are instrumented based on GCC-plugin. Furthermore, CFI constraint rules are verified on Hypervisor, boosting the security of the method. The experiment results show that this method can effectively detect kernel-level code reuse attacks, and performance evaluations indicate that performance penalty induced by this method is less than 60%.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利