多态shellcode检测方法研究

发布时间：2017-11-20 05:01

  本文关键词：多态shellcode检测方法研究

  更多相关文章： 多态shellcode 动态模拟 行为模式匹配

【摘要】：在以往的多态shellcode检测方法中,基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标,但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率,在已有的基于模拟的动态检测方法基础上进行了改进,引入了shellcode行为模式匹配机制,按照条件将多态shellcode解码后的行为与常见的攻击行为模式进行匹配,以判断并定位有效负载的位置。最后借助于Libemu系统对上述方法进行了实现和测试,从Metasploit和Nepenthes中提取shellcode样本,并使用编码器生成多态样本,从检测率和误报率两方面对方法进行了检验,实验证明了该方法有更高的有效性与稳定性。
【作者单位】： 武警工程大学研究生管理大队;武警工程大学电子技术系;
【分类号】：TP393.08
【正文快照】： 缓冲区溢出漏洞是一种众所周知的高危漏洞,现代电脑的数据代码不分离的结构,决定了其在未来很长一段时间内都将会是计算机网络的一个重灾区。攻击者一般可利用溢出漏洞进行恶意代码shellcode的注入,获取系统的控制权,许多蠕虫病毒也利用该方式进行攻击。因此对shellcode的检测，

本文编号：1206128