基于Libsafe库的缓冲区溢出检测算法改进.PDFVIP

高性能计算技术 33 基于Libsafe库的缓冲区溢出检测算法改进 1，2 1 1 2 谢汶兵 姜军 李中升 牛夏牧 1江南计算技术研究所无锡 214083 2哈尔滨工业大学哈尔滨 518000 摘要： C/C++提供了很多高效的诸如strcpy等字符串操作库函数，但由于缺乏相应安全边界检查 机制，存在着一些容易为攻击者利用的缓冲区溢出漏洞与威胁。讨论已有的Libsafe安全库增强 机制并分析了其依赖于栈帧指针回溯栈活动记录的局限性。提出基于程序指令特征码匹配来回 溯函数栈活动记录的Libsafe安全库增强方法。逐条匹配函数体指令与已知候选集指令来获取栈 信息。并在追溯栈活动记录时，将已回溯到的栈活动记录用哈希函数保存，以返回地址作为关 键字用链地址法进行检索。对改进版Libsafe安全库检测方法做了算法可行性和复杂度分析。从 灵敏性、完整性、准确性、性能等几个方面做了实验与分析，表明该机制的高效性与可用性。 关键词：Libsafe库检测，栈帧指针，堆栈活动记录，指令特征码，回溯栈，哈希函数 1. 概述 灵活的使用方式和高效目标码的同时，这些使用频 缓冲区溢出是软件系统中最常见的安全威胁。 度很高的库函数在实现时没有加入边界检查代码， [1] 缺乏相应的安全机制，存在着一些容易为攻击者利 据CERT安全小组统计 ，自1995年到2006年安全漏 洞报告累计达到30780个；操作系统中超过50%的 用的安全漏洞，表1整理了大量的字符串操作不安全 [3-4] 安全漏洞是由缓冲区溢出引起的。2011年，US- 的库函数 。这些函数的输入来源包括字符串、文 [2] 件和网络。由于其输入的字符串长度不确定性、长 CERT发现了超过200个缓冲区溢出漏洞，其中很多 是存在于诸如Microsoft、Adobe和Google等商业软件 度限制不够和伪长度等特点，如果使用不当，这些 中。这些与缓冲区溢出相关的安全漏洞正在被越来 函数很容易产生缓冲区溢出问题。 越多的蠕虫病毒所利用。作为一种有着重要影响的 针对不安全库函数的调用防范，目前提出的一 软件安全漏洞，缓冲区溢出漏洞伴随着冯·诺依曼 种普遍做法是对不安全库函数进行增强，Libsafe即 计算机体系结构产生而产生。人们从最初对它的忽 为一种最常用的方法。Libsafe利用动态库的预载机 视，到后来绞尽脑汁的对它进行研究防范，但是对 制，封装了若干已知的易受堆栈冲击方法攻击的库 缓冲区溢出漏洞仍然没有很好的解决办法。发生缓 函数。Libsafe通过截获对库函数的调用，监控程序运 冲区溢出的根本原因是输入到一个缓冲区或者数据 行时堆栈指针的变化，使用安全的库函数替代有风 保存区域的数据量超过了其容量，从而导致覆盖了 险的库函数，确保任一缓冲区溢出都被控制在现有 [5] 其他信息。攻击者造成并利用这种状况使系统崩溃 堆栈之内 。Libsafe安全库实现可分为三个阶段：拦 或者插入特制的代码来控制系统。缓冲区溢出攻击 截库函数调用；对库函数调用做安全性检查；漏洞 的形式有很多种，包括缓冲区破坏攻击、内存指针 处理。其中对库函数调用做安全性检查为最关键的 攻击、帧指针攻击等。