Please wait a minute...
 首页  期刊介绍 期刊订阅 联系我们 横山亮次奖 百年刊庆
 
最新录用  |  预出版  |  当期目录  |  过刊浏览  |  阅读排行  |  下载排行  |  引用排行  |  横山亮次奖  |  百年刊庆
清华大学学报(自然科学版)  2018, Vol. 58 Issue (3): 237-242    DOI: 10.16511/j.cnki.qhdxxb.2018.26.008
  计算机科学与技术 本期目录 | 过刊浏览 | 高级检索 |
面向云平台的硬件辅助ROP检测方法
王丽娜, 周伟康, 刘维杰, 余荣威
武汉大学 计算机学院, 空天信息安全与可信计算教育部重点实验室, 武汉 430072
Hardware-assisted ROP attack detection on cloud platforms
WANG Lina, ZHOU Weikang, LIU Weijie, YU Rongwei
Key Laboratory of Aerospace Information and Trusted Computing, Ministry of Education, School of Computer, Wuhan University, Wuhan 430072, China
全文: PDF(1215 KB)  
输出: BibTeX | EndNote (RIS)      
摘要 针对现有面向返回编程(return oriented programming,ROP)攻击检测方案难以满足云计算平台下要求部署灵活、可移植性强、检测透明的特点,该文提出一种基于硬件辅助的ROP攻击实时检测方法,利用Intel最后分支记录器(last branch record,LBR)可以记录客户虚拟机间接分支跳转信息的硬件特性,在虚拟机监视器中实现快速的ROP配件攻击链检测,使用虚拟机自省(virtual machine introspection,VMI)技术在特权域Dom0中完成间接分支跳转的合法性验证,达到保护客户虚拟机进程空间中共享链接库控制流完整性的目的。结果表明:该方法能有效地检测ROP攻击,引入的平均性能开销低于7%。
服务
把本文推荐给朋友
加入引用管理器
E-mail Alert
RSS
作者相关文章
王丽娜
周伟康
刘维杰
余荣威
关键词 云平台面向返回编程检测控制流完整性最后分支记录器    
Abstract:Existing detection approaches of return oriented programming (ROP) attacks cannnot simultaneously provide flexible deployment, allow portability, and allow transparent detection in the cloud environment. A hardware-assisted method was developed to detect ROP attacks in real time using the hardware features of the Intel last branch record (LBR) to record indirect branch information of a guest virtual machine (VM) to achieve rapid detection of gadget attack chains in the hypervisor. In the privileged domain, the method takes advantage of the virtual machine introspection (VMI) technology to validate the legitimacy of indirect branches to guarantee the control flow integrity of the shared link library in the process address space of the guest VM. Tests show that this demonstrate method can detect ROP attacks with an average run-time overhead of less than 7%.
Key wordscloud platform    return oriented programming(ROP) detection    control flow integrity    last branch record
收稿日期: 2017-08-17      出版日期: 2018-03-15
ZTFLH:  TP309.2  
基金资助:国家“八六三”高技术项目(2015AA016004);国家自然科学基金资助项目(61373169,61672394);NSFC-通用技术基础研究联合基金资助项目(U1536204)
作者简介: 王丽娜(1964-),女,教授。E-mail:lnwang.whu@gmail.com
引用本文:   
王丽娜, 周伟康, 刘维杰, 余荣威. 面向云平台的硬件辅助ROP检测方法[J]. 清华大学学报(自然科学版), 2018, 58(3): 237-242.
WANG Lina, ZHOU Weikang, LIU Weijie, YU Rongwei. Hardware-assisted ROP attack detection on cloud platforms. Journal of Tsinghua University(Science and Technology), 2018, 58(3): 237-242.
链接本文:  
http://jst.tsinghuajournals.com/CN/10.16511/j.cnki.qhdxxb.2018.26.008  或          http://jst.tsinghuajournals.com/CN/Y2018/V58/I3/237
  图1 基于LBR 的虚拟机ROP攻击检测架构
  表1 MBR_LBR_SELECT过滤设置
  图2 LBR 栈与指令执行示意图
  图3 辅助信息记录格式
  图4 共享库间接跳转分类
  图5 算法1
  表2 共享库及其间接跳转数目
  表3 构造样本攻击检测结果
  表4 CVE漏洞攻击检测结果
  图6 UnixBench性能测试结果
[1] CARLINI N, WAGNER D. ROP is still dangerous:Breaking modern defenses[C]//Proceedings of the 23rd USENIX Security Symposium. San Diego, USA:USENIX, 2014:385-399.
[2] DAVI L, SADEGHI A R, LEHMANN D, et al. Stitching the gadgets:On the ineffectiveness of coarse-grained controlflowintegrity protection[C]//Proceedings of the 23rd USENIX Security Symposium. San Diego, USA:USENIX, 2014:401-416.
[3] GÖKTAŞE, ATHANASOPOULOS E, POLYCHRONAKIS M, et al. Size does matter:Why using gadget-chain length to prevent code-reuse attacks is hard[C]//Proceedings of the 23rd USENIX Security Symposium. San Diego, USA:USENIX, 2014:417-432.
[4] BLETSCH T, JIANG X X, FREEH V W, et al. Jump-oriented programming:A new class of code-reuse attack[C]//Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. Hong Kong, China:ACM, 2011:30-40.
[5] SNOW K Z, MONROSE F, DAVI L, et al. Just-in-time code reuse:On the effectiveness of fine-grained address space layout randomization[C]//Proceedings of 2013 IEEE Symposium on Security and Privacy. Berkeley, USA:IEEE, 2013:574-588.
[6] VAN DER VEEN V, ANDRIESSE D, GÖKTAŞE, et al. Practical context-sensitive CFI[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. Denver, USA:ACM, 2015:927-940.
[7] TICE C, ROEDER T, COLLINGBOURNE P, et al. Enforcing forward-edge control-flow integrity in GCC & LLVM[C]//Proceedings of the 23rd USENIX Security Symposium. San Diego, USA:USENIX, 2014:941-955.
[8] MASHTIZADEH A J, BITTAU A, BONEH D. CCFI:Cryptographically enforced control flow integrity[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. Denver, USA:ACM, 2015:941-951.
[9] JIA X Q, WANG R, JIANG J, et al. Defending return-oriented programming based on virtualization techniques[J]. Security and Communication Networks, 2013, 6(10):1236-1249.
[10] WANG X Y, BACKER J. SIGDROP:Signature-based ROP detection using hardware performance counters[EB/OL].[2017-05-30]. https://arxiv.org/pdf/1609.02667.pdf.
[11] PAPPAS V, POLYCHRONAKIS M, KEROMYTIS A D. Transparent ROP exploit mitigation using indirect branch tracing[C]//Proceedings of the 22nd USENIX Security Symposium. Washington DC, USA:USENIX, 2013:447-462.
[12] CHENG Y Q, ZHOU Z W, MIAO Y, et al. ROPecker:A generic and practical approach for defending against ROP attack[C]//Proceedings of the 21th Annual Network and Distributed System Security symposium. San Diego, USA:NDSS, 2014:1-14.
[13] LE L. Payload already inside:Datafire-use for ROP exploits[C]//Proceedings of Black Hat USA 2010. Las Vegas, USA, 2010:49-54.
[14] EXPLOIT D. Archived shellcode for various operating systems and architectures[EB/OL].[2017-05-30]. https://www.exploit-db.com/shellcode/?order_by=title&order=asc&p=Lin_x86.
[1] 赵刚, 于悦, 黄敏桓, 王玉迎, 王嘉捷, 孙晓霞. PDF阅读器字体解析引擎的测试方法[J]. 清华大学学报(自然科学版), 2018, 58(3): 266-271.
[2] 曹来成, 刘宇飞, 董晓晔, 郭显. 基于属性加密的用户隐私保护云存储方案[J]. 清华大学学报(自然科学版), 2018, 58(2): 150-156.
[3] 邹静, 李斌, 张利, 骆扬, 孙运传, 李世贤. 基于Hash聚合动态数据持有性方案安全性分析[J]. 清华大学学报(自然科学版), 2017, 57(11): 1145-1149,1158.
[4] 王于丁, 杨家海. 一种基于角色和属性的云计算数据访问控制模型[J]. 清华大学学报(自然科学版), 2017, 57(11): 1150-1158.
[5] 沈科, 叶晓俊, 刘孝男, 李斌. 基于API调用分析的Android应用行为意图推测[J]. 清华大学学报(自然科学版), 2017, 57(11): 1139-1144.
[6] 梁彬, 龚伟刚, 游伟, 李赞, 石文昌. JavaScript优化编译执行模式下的动态污点分析技术[J]. 清华大学学报(自然科学版), 2017, 57(9): 932-938.
[7] 裴继升, 叶晓俊. 基于语法推导的溯源依赖关系路径模式挖掘算法[J]. 清华大学学报(自然科学版), 2017, 57(6): 561-568.
[8] 方勇, 刘道胜, 黄诚. 基于层次聚类的虚假用户检测[J]. 清华大学学报(自然科学版), 2017, 57(6): 620-624.
[9] 周彩秋, 杨余旺, 王永建. 无线传感器网络节点行为度量方案[J]. 清华大学学报(自然科学版), 2017, 57(1): 39-43.
[10] 宁博, 裴晓霞, 李玉居, 裴新宇. LBS大数据中基于固定网格划分四叉树索引的查询验证[J]. 清华大学学报(自然科学版), 2016, 56(7): 785-792.
[11] 李舟军, 吴春明, 王啸. 基于沙盒的Android应用风险行为分析与评估[J]. 清华大学学报(自然科学版), 2016, 56(5): 453-460.
[12] 石竑松, 高金萍, 贾炜, 刘晖. CC标准中安全架构与策略模型的分析方法[J]. 清华大学学报(自然科学版), 2016, 56(5): 493-498.
[13] 马刚, 杜宇鸽, 杨熙, 张博, 史忠植. 复杂系统风险评估专家系统[J]. 清华大学学报(自然科学版), 2016, 56(1): 66-76,82.
[14] 徐强, 梁彬, 游伟, 石文昌. 基于SURF算法的Android恶意应用钓鱼登录界面检测[J]. 清华大学学报(自然科学版), 2016, 56(1): 77-82.
[15] 涂山山, 陶怀舟, 黄永峰. 基于半监督学习的即时语音通信隐藏检测[J]. 清华大学学报(自然科学版), 2015, 55(11): 1246-1252.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
版权所有 © 《清华大学学报(自然科学版)》编辑部
本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn