一种基于双模式虚拟机的多态Shellcode检测方法
本文关键词: 多态Shellcode GetPC定位 指令识别 虚拟机 控制流模式 数据流模式 Define-Use链 出处:《计算机研究与发展》2014年08期 论文类型:期刊论文
【摘要】:近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.
[Abstract]:In recent years, shell code attacks usually use polymorphic techniques to self-encrypt to bypass the detection of network layer devices. However, the existing detection methods can not distinguish between polymorphic Shellcode and shell protection code. A new detection method of polymorphic Shellcode based on dual-mode virtual machine is proposed. This method improves the existing GetPC location mechanism, realizes the initial positioning of Shellcode, and filters the network traffic through IA-32 instruction recognition. The switching between the control flow mode and the data flow mode of virtual machine is realized by using finite automata and its discriminant conditions. The detection of multi-layer encrypted polymorphic Shellcode is realized by combining the existing feature matching technology. The experimental results show that a large number of real network data. This method can effectively distinguish the polymorphic Shellcode from the shell protection software while ensuring high detection recall rate, and avoids the false positive behavior of the normal flow rate. The time cost is between static analysis and dynamic simulation, which provides an effective method for network layer detection of polymorphic Shellcode.
【作者单位】: 北京航空航天大学网络技术北京市重点实验室;
【基金】:国家自然科学基金项目(61170295) 国防基础科研计划项目(A2120110006) 北京市教育委员会共建项目建设计划项目(JD100060630) 中航工业产学研项目(CXY2011BH07)
【分类号】:TP393.08
【正文快照】: 蠕虫、病毒等恶意代码可以利用网络进行自我复制和传播,从而对计算机安全造成重大危害.这些恶意代码通常以堆栈攻击[1-2]作为其主要网络入侵手段.堆栈攻击主要通过向远程主机发送畸形数据包,利用远程主机系统或软件的缺陷,淹没其返回地址,劫持进程使之跳转到畸形数据包附带的S
【相似文献】
相关期刊论文 前10条
1 文征,徐成,李仁发;Java技术在嵌入式实时操作系统上的实现[J];科学技术与工程;2005年03期
2 倪晓宇,易红,倪中华,汤文成;基于虚拟机的B/S协同系统的设计[J];计算机集成制造系统-CIMS;2005年02期
3 刘晖;;系统问答[J];电脑迷;2005年05期
4 刘猛;王中生;赵红毅;;基于Honeynet系统的Linux日志记录研究[J];电脑知识与技术(学术交流);2006年36期
5 张振伦;;虚拟机的演化[J];软件世界;2007年13期
6 娟子;;恶意软件瞄准虚拟技术[J];信息系统工程;2008年02期
7 黄金敢;;基于Integrity VM技术的服务器整合设计[J];福建电脑;2008年06期
8 基地;;关于Windows 7 的风言风雨[J];现代计算机(普及版);2008年04期
9 ;打造虚拟存储平台:Hyper-V+NetApp[J];微电脑世界;2009年02期
10 魏楚元;;虚拟机应用于高校数据中心[J];中国教育网络;2009年04期
相关会议论文 前10条
1 孟广平;;虚拟机漂移网络连接方法探讨[A];中国计量协会冶金分会2011年会论文集[C];2011年
2 汝学民;庄越挺;;计算机病毒技术的发展与防范[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
3 陈晓东;俞承芳;李旦;;基于FPGA的神经网络控制器及其应用[A];第六届全国信息获取与处理学术会议论文集(3)[C];2008年
4 王轶;陈俊辉;;使用VPC2007搭建企业应用和测试平台[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
5 于洋;陈晓东;俞承芳;李旦;;基于FPGA平台的虚拟机建模与仿真[A];2007'仪表,自动化及先进集成技术大会论文集(一)[C];2007年
6 刘孟全;;服务器虚拟化相关问题分析[A];广西计算机学会2009年年会论文集[C];2009年
7 李永;吴庆波;苏航;;基于虚拟机的动态迁移技术分析和研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
8 李钢;应晶;;C2000语言:一种工业监控组态语言[A];2005中国控制与决策学术年会论文集(下)[C];2005年
9 向永谦;崔竞松;;基于vSphere的安全管理套件[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
10 成鹏;张建生;延娅妮;;虚拟化架构研究及其在新华社采编系统中的应用[A];中国新闻技术工作者联合会五届一次理事会暨学术年会论文集(上篇)[C];2009年
相关重要报纸文章 前10条
1 ;利用工具解决虚拟机监测难题[N];网络世界;2007年
2 ;虚拟机管理工具仍有改进空间[N];网络世界;2007年
3 ;加强虚拟服务器安全的10个步骤[N];计算机世界;2008年
4 特约作者:聂阳德 钟达文;体验虚拟机的神奇魅力(第B04版)[N];电脑报;2002年
5 江苏 王志军;用好虚拟机VMware[N];电脑报;2002年
6 薛启康;VMware虚拟机的文件级备份[N];中国计算机报;2007年
7 ;BEA发布新版本Java虚拟机[N];人民邮电;2007年
8 电脑商报记者 张戈;趋势科技的一大步[N];电脑商报;2011年
9 编译 沈建苗;虚拟化技术的安全价值[N];计算机世界;2007年
10 河北科技大学 任文霞邋河北经贸大学 王春海;在U盘上定制个人PC[N];中国计算机报;2008年
相关博士学位论文 前10条
1 董玉双;云平台中虚拟机部署的关键问题研究[D];吉林大学;2014年
2 杜雨阳;虚拟机状态迁移和相变存储磨损均衡方法研究[D];清华大学;2011年
3 赵佳;虚拟机动态迁移的关键问题研究[D];吉林大学;2013年
4 陈华才;虚拟化环境中计算效能优化研究[D];华中科技大学;2011年
5 AHMED ELSAYED SALLAM;[D];湖南大学;2013年
6 唐遇星;面向动态二进制翻译的动态优化和微处理器体系结构支撑技术研究[D];国防科学技术大学;2005年
7 丁靖宇;面向企业虚拟私有云的虚拟专用网技术研究[D];东华大学;2012年
8 黄道超;智慧云网络动态资源适配关键技术研究[D];北京交通大学;2013年
9 杨伟建;面向HDTV信源集成解码芯片的软硬件协同设计研究[D];浙江大学;2001年
10 张雪松;软件迷惑技术研究[D];吉林大学;2008年
相关硕士学位论文 前10条
1 邱华;用于工业自动化设备互联的设备描述语言的定义和实现[D];华东师范大学;2006年
2 褚亚铭;一个教学用微内核操作系统的设计与实现[D];苏州大学;2005年
3 闫玉忠;串行程序并行化技术研究与一种新实现构想[D];西南交通大学;2003年
4 张凯龙;传统OA的Linux中间件平台移植技术及其实现[D];西北工业大学;2003年
5 贾希强;嵌入式数字电视中间件技术研究与实现[D];西北工业大学;2004年
6 李芳;数控系统中嵌入式PLC虚拟机的研究与开发[D];北京工业大学;2005年
7 覃安;计算机代数系统的设计与实现[D];中国科学院研究生院(成都计算机应用研究所);2006年
8 陆晓雯;虚拟机资源监测调整机制研究[D];华中科技大学;2008年
9 吴俊;基于RISC结构的ASIP设计[D];浙江大学;2002年
10 杨敏华;Java AWT的分析与实现[D];西北工业大学;2005年
,本文编号:1448898
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1448898.html
