一种基于字节波动特征的ROP流量静态检测方法
2022-10-28 16:07:03   来源：    点击：

摘要:在现代计算机系统漏洞缓解机制的作用下，传统注入攻击方法无法实现攻击，面向返回编程(Return-Oriented Programming，ROP)技术成为漏洞攻击的关键，其利用多个代码片段( gadget)组成ROP链，从而实现任意操作执行。因此，网络流量中的ROP链检测对防御漏洞攻击具有重要作用。文章提出一种ROP流量静态检测方法，该方法结合信息嫡和方差通过序列抽取方式完成对ROP链中字节波动特征的差异量化,并利用卷积神经网络(Convolutional Neural Network，CNN)捕捉特征，从而实现对网络流量中ROP链的静态检测。文章将真实ROP代码与正常流量进行随机混合，从而形成训练数据集，利用此数据集进行分类训练，模型的最高准确率可达 99.6%，漏报率可控制在2%以下，误报率可控制在1%以下。实验结果表明，文章提出的方法实现了纯静态ROP流量检测，系统开销低，并且不依赖内存地址信息。