专利详情

专利名称	一种基于虚拟机的ROP攻击检测方法及系统
申请号	CN201210075159.0	专利类型	发明专利
公开（公告）号	CN102663312A	公开（授权）日	2012.09.12
申请（专利权）人	中国科学院信息工程研究所	发明（设计）人	贾晓启;王蕊;姜军
主分类号	G06F21/20(2006.01)I	IPC主分类号	G06F21/20(2006.01)I;G06F9/455(2006.01)I
专利有效期	一种基于虚拟机的ROP攻击检测方法及系统至一种基于虚拟机的ROP攻击检测方法及系统	法律状态	实质审查的生效
说明书摘要	本发明公开了一种基于虚拟机的ROP攻击检测方法及系统，属于系统安全技术领域。本方法为：1)将待保护的操作系统运行在虚拟域环境中；2)定位设定的目标进程，获取目标进程的进程信息；3)监控该系统中进程运行，当上下文切换到目标进程时，将当前目标进程的堆栈标记为只读；4)拦截当内存页面错误引发自对一个可写堆栈内存区域标记为只读后发生的写操作，并将相应堆栈页面标记为可写；5)定位当前目标进程在执行过程中下一需堆栈检查的地方，设置断点；6)截获断点并检测ROP攻击是否存在；当检测到ROP攻击时，停止当前目标进程，否则使目标进程继续运行，同时将目标进程的堆栈标记为只读。本方法具有检测率高，误报率低等特点。