随着APT组织的兴起,针对国家或者大型公司的APT攻击也逐渐被安全研究人员关注,其中APT攻击手法隐蔽,且通常使用Oday或者较新的Nday,难以防范,因此针对漏洞利用行为的检测在当前环境下是十分有必要的。本文提出了一种基于控制流完整性的漏洞利用检测技术,该技术通过处理器硬件跟踪能力对程序执行的汇编指令序列进行提取和恢复,从而准确透明无感知的获取到程序完整的运行时汇编指令序列,其中可能包含漏洞利用代码的执行,同时将预先构造的程序控制流图与目标程序的执行流进行比较,基于控制流完整性对程序执行的执行流进行检测,以发现程序执行过程中的异常,同时对程序执行的控制流中异常使用弱检查的方式来降低误报率。基于以上思路,本文针对一种大型软件（Adobe Reader）实现了一套基于IPT硬件和控制流完整性的漏洞利用检测系统,通过对IPT的性能测试验证了IPT硬件低消耗的特性,通过对解码技术的深入研究提出了一种IP过滤的方案,能有效减少解码的消耗,并在给定的漏洞样本集的情况下,对漏洞利用行为进行检测,发现本文提出的漏洞利用行为检测方案对漏洞利用行为检出率达到100%,在控制流图不完善的情况下,误报率仍保持在较低水准上5.89%,其中使用不完善的控制流图时,对漏洞利用行为的检出率仍达到了 1 00%,在通过对控制流图的大量优化后,使得误报率逐渐收敛至0%。本样本集均选择真实的CVE漏洞,具有很高的实用价值,具有一定的零日漏洞发现能力,能快速发现漏洞利用行为。