一种防止堆栈溢出攻击的保护方法及系统

技术领域

本发明属于防止堆栈溢出攻击的保护领域，具体涉及一种防止堆栈溢出攻击的保护方法及系统。

背景技术

现代操作系统中，应用程序往往难以做到极尽完善，再加上编程语言的局限性，导致各种各样程序漏洞的出现。以堆栈溢出为代表的缓冲区溢出攻击已经成为最普遍的安全漏洞。利用它可以破坏程序正常执行流程，更严重的是它能使攻击者通过普通用户获取系统权限从而进行对敏感数据的非法操作，对系统环境造成极大的威胁。攻击者在利用堆栈溢出漏洞时，通常会破坏当前的函数栈。例如，最常见的一种攻击方式是攻击者利用strcpy()函数不检查字符数组是否越界的特点来进行地址的覆盖，攻击者在程序代码的字符数组中写入超过数组长度的数据，直到函数栈中返回地址被覆盖，使得该函数在返回时跳转到填入的恶意代码处执行。为了尽可能避免缓冲区溢出漏洞被攻击者利用，如今编译器已经在编译层面对堆栈进行保护。

编译保护技术通过编译器对函数返回地址进行保护，发现返回地址被篡改之后，阻止函数执行流程改变。如图1所示，当发生函数调用时，会在子函数栈空间中插入一个canary word的数据填充，由于栈溢出方向是从低地址到高地址，因此在返回地址被溢出之前，该canary值首先会被覆盖，通过检测这个canary word是否改变来检测函数栈是否被破坏。常见的canary word有如下几种：

第一种是固定值填充，一个canary word通常包含NULL(0x00)，CR(0x0d)，LF(0x0a)这样的字符。由于绝大多数溢出攻击漏洞都是由于字符串处理函数不做数组越界检查引起的，而这些字符串都是以NULL作为结尾，使用这样的canary填充可以使字符串处理函数结束复制，从而防止溢出攻击。

第二种是随机值填充，canary值是在程序初始化时随机产生的，然后这个值被保存到一个未被映射到虚拟地址空间的内存页中，当攻击者试图通过指针访问保存随机数的内存时就会引发段错误。

第三种是通过一个随机数和函数栈中所有控制信息，返回地址通过异或运算得到canary word。

现有技术存在如下缺点：第一种生成canary值的方法采用固定字符填充容易被攻击者查出canary word的位置，如果跳过该填充区域直接修改其后的数据，会导致该保护方式无效；第二种生成canary值的方法会产生一个随机数填充，但这个随机数会保存在函数栈中，攻击者仍有机会获取该函数的值；第三种采用计算一个随机数和函数栈中所有控制信息，返回地址值的方法，虽然可以检测到所有控制信息，返回地址的修改，但涉及的运算量多，消耗较大。

发明内容

为解决上述技术问题本申请实施例提供了一种防止堆栈溢出攻击的保护方法及系统。一种防止堆栈溢出攻击的保护方法，其中，包括：

构造canary值步骤：发生函数调用时，构造任一canary值；

插入步骤：在被调用的子函数栈空间插入所述canary值进行数据填充；

记录步骤：在被调用的子函数的前后各添加一代码，通过两个所述代码分别计算所述canary值和返回值的异或结果；

比较步骤：对比两个所述canary值和返回值的异或结果；

输出步骤：若所述异或结果相等，所述函数正常跳转并将跳转结果返回；若所述异或结果不相等，则阻止程序的跳转。

上述防止堆栈溢出攻击的保护方法，其中，所述canary值是由任一固定值和任一随机值拼接而成。

其中，所述记录步骤包括：

在被调用的所述子函数的之前添加开头代码及在被调用的所述子函数之后添加前尾端代码，通过所述开头代码计算所述canary值和返回值的第一异或结果，通过所述尾端代码计算所述canary值和返回值的第二异或结果。

上述防止堆栈溢出攻击的保护方法，其中，所述输出步骤包括：

若所述第一异或结果和所述第二异或结果相等，所述函数正常跳转并将所述跳转结果返回。

上述防止堆栈溢出攻击的保护方法，其中，所述输出步骤还包括：

若所述第一异或结果和所述第二异或结果不相等，则阻止所述程序跳转。

一种防止堆栈溢出攻击的保护系统，其特征在于，包括：

构造canary值模块，所述构造canary值模块在发生函数调用时，构造任一canary值；

插入模块，所述插入模块在被调用的子函数栈空间插入所述canary值进行数据填充；

记录模块，所述记录模块在被调用的子函数的前后各添加一代码，通过两个所述代码分别计算所述canary值和返回值的异或结果；

比较模块，所述比较模块对比两个所述canary值和返回值的异或结果；

输出模块，若所述异或结果相等，所述函数正常跳转并将跳转结果返回；若所述异或结果不相等，所述输出模块阻止程序的跳转。

上述防止堆栈溢出攻击的保护系统，其中，所述canary值是由任一固定值和任一随机值拼接而成。

上述防止堆栈溢出攻击的保护系统，其中，所述记录模块在被调用的所述子函数的之前添加开头代码及在被调用的所述子函数之后添加前尾端代码，通过所述开头代码计算所述canary值和返回值的第一异或结果，通过所述尾端代码计算所述canary值和返回值的第二异或结果。

上述防止堆栈溢出攻击的保护系统，其中，若所述第一异或结果和所述第二异或结果相等，所述输出模块将所述函数正常跳转并将所述跳转结果返回。

上述防止堆栈溢出攻击的保护系统，其中，若所述第一异或结果和所述第二异或结果不相等，所述输出模块阻止所述程序跳转。

本发明的有益效果在于：

本发明采用将固定值与随机值拼接生成canary word的方法，其中固定值本身能给攻击者造成很大的麻烦，加上随机性能够有效阻止大部分的溢出攻击。同时在尽可能小的运算量下，能够检测到绕过canary值直接修改返回地址的攻击行为。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

在附图中：

图1是防止堆栈溢出攻击的保护方法的流程图；

图2是防止堆栈溢出攻击的保护方法具体实现步骤的流程图；

图3是本发明的防止堆栈溢出攻击的保护方法具体实现系统的结构示意图；

图4是根据本发明实施例的计算机设备的框架图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本发明的保护范围之内。

在详细阐述本发明各个实施例之前，对本发明的核心发明思想予以概述，并通过下述若干实施例予以详细阐述。

请参照图1，图1是防止堆栈溢出攻击的保护方法。如图1所示，本发明的防止堆栈溢出攻击的保护方法包括：

构造canary值步骤S1：发生函数调用时，构造任一canary值；

插入步骤S2：在被调用的子函数栈空间插入所述canary值进行数据填充；

记录步骤S3：在被调用的子函数的前后各添加一代码，通过两个所述代码分别计算所述canary值和返回值的异或结果；

比较步骤S4：对比两个所述canary值和返回值的异或结果；

输出步骤S5：若所述异或结果相等，所述函数正常跳转并将跳转结果返回；若所述异或结果不相等，则阻止程序的跳转。

其中，所述canary值是由任一固定值和任一随机值拼接而成。

其中，记录步骤包括：

在被调用的所述子函数的之前添加开头代码及在被调用的所述子函数之后添加前尾端代码，通过所述开头代码计算所述canary值和返回值的第一异或结果，通过所述尾端代码计算所述canary值和返回值的第二异或结果。

其中，输出步骤包括：

若所述第一异或结果和所述第二异或结果相等，所述函数正常跳转并将所述跳转结果返回。

其中，输出步骤还包括：

若所述第一异或结果和所述第二异或结果不相等，则阻止所述程序跳转。

以下，列举实施例具体说明本发明的防止堆栈溢出攻击的保护方法如下。

实施例一：

为了克服现有技术方案中的缺陷，本发明提供了一种防止堆栈溢出攻击的保护方法，结合三种canary值生成方法的优势，在降低运算量的情况下解决攻击者绕过canaryword修改返回值的问题。以此来增强堆栈保护。

为解决攻击者绕过canary word直接修改返回值的问题，提出了一种防止堆栈溢出攻击的保护方法。该方法的主要思想是：结合现有技术中三种canary值生成方法的优势，canary word由包含NULL,CR,LF等字符的固定值加上随机值的拼接生成，同时在需要保护的函数前后各添加一段代码，开头的代码对当前canary值和返回值进行异或运算并将结果记录，尾端代码对当前canary值和返回值进行异或计算并和开头代码计算的结果进行对比。如果两次计算值一样，说明返回值没有被修改；否则，发生堆栈溢出攻击，阻止函数的非正常跳转。

具体实现步骤如图2所示：

当发生函数调用时，构造一个canary值，该canary值是由一个固定值(包含NULL,CR,LF等字符)和一个随机值拼接而成。

在被调用子函数栈空间插入上一步生成的canary word作为数据填充。

在被调用子函数的前后各添加一段代码，开头代码计算当前canary值和返回值的异或结果记为R1，尾端代码计算当前canary值和返回值的异或结果记为R2。

比较R1和R2值是否相等。如果调用该函数前后两次计算值相等，转到步骤(5)，否则转到步骤(6)。

R1和R2值相等，说明函数正常执行，返回值没有被修改，函数正常跳转并将结果返回。

R1和R2值不相等，说明函数执行过程中canary word或者返回值发生了改变，栈空间被破坏，因此阻止程序的跳转。

实施例二：

请参照图3，图3是本发明的防止堆栈溢出攻击的保护系统的结构示意图。如图3所示本发明的一种防止堆栈溢出攻击的保护系统，其中，包括：

构造canary值模块，所述构造canary值模块在发生函数调用时，构造任一canary值；

插入模块，所述插入模块在被调用的子函数栈空间插入所述canary值进行数据填充；

记录模块，所述记录模块在被调用的子函数的前后各添加一代码，通过两个所述代码分别计算所述canary值和返回值的异或结果；

比较模块，所述比较模块对比两个所述canary值和返回值的异或结果；

输出模块，若所述异或结果相等，所述函数正常跳转并将跳转结果返回；若所述异或结果不相等，所述输出模块阻止程序的跳转。

其中，所述canary值是由任一固定值和任一随机值拼接而成。

其中，所述记录模块在被调用的所述子函数的之前添加开头代码及在被调用的所述子函数之后添加前尾端代码，通过所述开头代码计算所述canary值和返回值的第一异或结果，通过所述尾端代码计算所述canary值和返回值的第二异或结果。

其中，若所述第一异或结果和所述第二异或结果相等，所述输出模块将所述函数正常跳转并将所述跳转结果返回。

其中，若所述第一异或结果和所述第二异或结果不相等，所述输出模块阻止所述程序跳转。

实施例三：

结合图4所示，本实施例揭示了一种计算机设备的一种具体实施方式。计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non-Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种防止堆栈溢出攻击的保护方法。

在其中一些实施例中，计算机设备还可包括通信接口83和总线80。其中，如图4所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于防止堆栈溢出攻击的保护方法进行网络异常流量的检测，从而实现结合图1描述的方法。

另外，结合上述实施例中防止堆栈溢出攻击的保护方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种防止堆栈溢出攻击的保护方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

综上所述，基于本发明的有益效果在于，本专利提供了一种防止堆栈溢出攻击的保护方法，本发明采用将固定值与随机值拼接生成canary word的方法，其中固定值本身能给攻击者造成很大的麻烦，加上随机性能够有效阻止大部分的溢出攻击。同时在尽可能小的运算量下，能够检测到绕过canary值直接修改返回地址的攻击行为。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。