(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211365888.X (22)申请日 2022.11.03 (71)申请人 中国人民解 放军国防科技大 学 地址 410073 湖南省长 沙市开福区德雅路 109号 (72)发明人 王剑　黄恺杰　陈炯峄　张梦杰　 刘星彤　李瑞林　冯超　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 李倩 (51)Int.Cl. H04L 43/022(2022.01) H04L 43/026(2022.01) H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 一种ROP流量检测方法、 装置、 设备及计算机 可读存储介质 (57)摘要 本发明公开了一种ROP流量检测方法、 装置、 设备及计算机可读存储介质， 应用于网络流量检 测领域。 该方法包括： 获取待检测流量； 计算待检 测流量对应的状态跳转序列集； 调用有限状态机 对状态跳转序列集进行处理， 以得到待检测流量 对应的检测评估值； 根据检测评估值确定待检测 流量是否为ROP流量。 本发明采用字节序列模式 提取出ROP流量的字节跳转特征， 可以实现对ROP 流量的静态检测， 相较于现有的动态检测方法， 本发明不依赖于目标程序的执行环 境， 适用范围 广， 并且本发 明无需记录任何地址信息或使用任 何反汇编工具， 相较于现有的静态检测方法， 本 发明实现更为简单且具有极小的内存开销。 权利要求书2页 说明书10页 附图4页 CN 115473826 A 2022.12.13 CN 115473826 A 1.一种ROP流 量检测方法， 其特 征在于， 包括： 获取待检测流 量； 计算所述待检测流 量对应的状态跳转序列集； 调用有限状态机对所述状态跳转序列集进行处理， 以得到所述待检测流量对应的检测 评估值； 根据所述检测评估值确定所述待检测流 量是否为ROP流 量； 其中， 所述调用有限状态机对所述状态跳转序列集进行处理， 以得到所述待检测流量 对应的检测评估值， 包括： 调用所述有限状态机计算所述状态跳转序列集对应的多个字节序列模式量化值； 其 中， 所述字节序列模式量化值为 ； s表示字节序列， 表示状态跳转权 重， N表示所述字节序列发生 N次状态跳转， 表示激活函数； 计算所述多个字节序列模式量 化值中的最大值， 将所述 最大值作为所述检测评估值。 2.根据权利要求1所述的ROP流量检测方法， 其特征在于， 所述计算所述待检测流量对 应的状态跳转序列集， 包括： 对所述待检测流 量进行四通道采样， 得到多个待检测字节序列； 计算每个待检测字节序列对应的状态跳转序列， 以得到所述状态跳转序列集。 3.根据权利要求1至2任一项所述的ROP流 量检测方法， 其特 征在于， 还 包括： 采集ROP流 量和非ROP流量； 对所述ROP流 量和所述非 ROP流量进行预处理， 得到训练状态跳转序列集； 根据所述训练状态跳转序列集， 迭代训练所述有限状态机 。 4.根据权利要求3所述的ROP流量检测方法， 其特征在于， 所述根据所述训练状态跳转 序列集， 迭代训练所述有限状态机， 包括： 根据所述训练状态跳转序列集， 应用梯度 下降算法迭代训练包括损失函数的所述有限 状态机； 其中， 所述损失函数为 ， R 表示ROP Gadget地址首字节序列的集合， B表 示正常流量中随机采样 字节序列的集合， 所述 s表示所述字节序列； 将 作为所述损失函数的优化目标， 得到所述状态跳转权重为所 述 的所述有限状态机 。 5.根据权利要求1所述的ROP流量检测方法， 其特征在于， 所述根据所述检测评估值确 定所述待检测流 量是否为ROP流 量， 包括： 获取预设阈值； 当所述检测评估值大于所述预设阈值时， 确定所述待检测流 量为ROP流量； 当所述检测评估值 不大于所述预设阈值时， 确定所述待检测流 量为非ROP流量。 6.根据权利要求1所述的ROP流 量检测方法， 其特 征在于， 还 包括：权　利　要　求　书 1/2 页 2 CN 115473826 A 2当所述待检测流 量为ROP流量时， 输出提 示信息。 7.一种ROP流 量检测装置， 其特 征在于， 包括： 待检测流 量获取模块， 用于获取待检测流 量； 状态跳转序列集获取模块， 用于计算所述待检测流 量对应的状态跳转序列集； 检测评估值获取模块， 用于调用有限状态机对所述状态跳转序列集进行处理， 以得到 所述待检测流 量对应的检测评估值； ROP流量确定模块， 用于根据所述检测评估值确定所述待检测流 量是否为ROP流 量； 其中， 所述检测评估值获取模块， 包括： 字节序列模式量化值计算单元， 用于调用所述有限状态机计算所述状态跳转序列集对 应 的 多 个 字 节 序 列 模 式 量 化 值 ；其 中 ，所 述 字 节 序 列 模 式 量 化 值 为 ； s表示字节序列， 表示状态跳转权重， N表示所述字 节序列发生 N次状态跳转， 表示激活函数； 检测评估值计算单元， 用于计算所述多个字节序列模式量化值中的最大值， 将所述最 大值作为所述检测评估值。 8.一种ROP流 量检测设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至6任一项所述的ROP流量检测 方法的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的ROP流量检测方 法的步骤。权　利　要　求　书 2/2 页 3 CN 115473826 A 3