代码重用攻击技术的持续发展给进程执行的控制流保护带来了新的挑战和威胁。CFI(控制流完整性)是防御代码重用攻击的一种理想技术,围绕CFI的研究与实现逐渐成为新的研究热点,CCFI(Context-Sensitive CFI,上下文敏感的控制流完整性)是该领域的前沿研究方向。CCFI的实现需要有效的执行过程监控和二进制程序分析。然而在当前的技术条件下,CCFI技术亟需更多的验证次数和更加精确的控制流图。为此,本文设计了基于CCFI的保护技术框架,提出了基于页中断的验证点增加优化技术和基于参数数量匹配的间接调用点转移目标约束优化技术。本文的主要工作有以下三个方面:1、设计了基于CCFI实现的技术框架。该技术框架利用了现代处理器硬件特性在内核层实现了对进程执行过程的动态监控,使用Hash验证的方法实现了对进程控制流转移状态的快速验证,并通过IOCTL接口实现了与应用层分析程序的动态交互等。2、针对已有的CCFI实现技术中验证时机较少的问题,提出了基于内存页NX执行保护机制和页中断处理机制的验证点增加技术。该技术实现于Linux内核层,通过主动改变代码页面的可执行属性让进程更多地陷入内核,同时使用钩挂技术对内核页错误处理过程进行了修改,插入了更多的验证点。对Nginx等典型应用实验结果表明,该技术能够明显增加程序执行时的验证点;与现有验证点选取技术相比,基于该技术产生增加的性能损耗在可接受的范围之内。3、现有的CFI技术使用了近似的控制流图,并没有很好地处理间接调用点的控制流转移目标。针对这个问题,提出了一种对间接调用点转移目标范围的约束技术。该技术通过分析调用点准备的参数数量和函数中使用的参数数量,然后分析调用点与函数之间的对应关系,最后得出间接调用点的转移目标范围。实验结果表明,该技术能够很好地得到调用点与函数的参数准备与使用情况,在直接调用点的调用关系分析表明通过该技术能够取得非常好的匹配效果;在间接调用点的分析表明该技术能大大削减间接转移目标数量,取得不错的约束效果。