一种shellcode动态检测与分析技术

发布时间：2018-02-22 08:36

  本文关键词： shellcode DynamoRIO 动态检测 自动机模型 动态二进制平台　出处：《小型微型计算机系统》2013年07期 　论文类型：期刊论文

【摘要】：提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.
[Abstract]:A shellcode model recognition and function analysis method based on dynamic binary platform DynamoRIO is proposed, and a prototype system based on this method is implemented. Firstly, the shellcode utilization technology is summarized, and the dynamic execution characteristics of shellcode are analyzed, and the automata theory is used. In this paper, the formal description of each execution stage of shellcode is given, and the corresponding automata model and detection and analysis algorithm of each stage are given, according to which the general execution mode of shellcode is concluded. Secondly, a method of API call sequence analysis for shellcode is proposed. According to the type and parameters of API, the function analysis of shellcode is realized. The experimental results show that the method can effectively detect shell-codeand recognize the execution pattern. The detection method has important application value for efficiently detecting shellcode, quickly identifying the intention of network attack and improving the ability of responding to network attack event.
【作者单位】： 解放军信息工程大学信息工程学院;
【分类号】：TP393.08

【参考文献】

相关期刊论文 前1条

1 王兰佳;段海新;李星;;基于动态模拟的多态Shellcode建模与网络层检测[J];中国科学(E辑:信息科学);2008年10期

【相似文献】

相关期刊论文 前10条

1 宋其章;张伫;;互联网技术的应用与安全[J];金融电子化;2000年12期

2 富宇,唐国维,刘显德;缓冲区溢出的预防与检测技术综述[J];计算机工程与应用;2005年32期

3 刘利军;怀进鹏;;基于有穷自动机的网络扫描检测算法研究与实现[J];计算机研究与发展;2006年03期

4 陈文波;李善玺;;ARP欺骗动态检测防御系统[J];中国教育网络;2007年08期

5 黄玉文;刘春英;李肖坚;;基于可执行文件的缓冲区溢出检测模型[J];计算机工程;2010年02期

6 刘建波;;基于流量分析的P2P僵尸网络检测[J];计算机与数字工程;2011年03期

7 于继江;;基于危险函数的缓冲区溢出检测方法的研究与实现[J];计算机应用与软件;2011年09期

8 袁坚,任勇,山秀明;一种计算机网络的元胞自动机模型及分析[J];物理学报;2000年03期

9 莫尉;王国秋;;缓冲区溢出漏洞攻击的分析研究[J];计算机与现代化;2007年04期

10 罗鸿彦;薛质;;Linux下缓冲区溢出的分析与利用[J];信息安全与通信保密;2008年08期

相关会议论文 前7条

1 马俊;李根;卢凯;;基于模拟器的缓冲区溢出动态检测方法[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（下册）[C];2008年

2 王寅庆;李祥;;基于协议分析的网络监听和WEB拦截技术[A];第十八次全国计算机安全学术交流会论文集[C];2003年

3 郑聪;诸葛建伟;;基于ActiveX漏洞模拟机制的网页木马检测方法[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

4 余兴超;马争先;王玉斌;董荣胜;;基于UPPAAL的简单网络支付协议形式化验证[A];广西计算机学会2010年学术年会论文集[C];2010年

5 奚琪;王清贤;曾勇军;;恶意代码检测技术综述[A];计算机研究新进展（2010）——河南省计算机学会2010年学术年会论文集[C];2010年

6 张婷婷;罗守山;;Windows缓冲区溢出保护机制及突破技术研究[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年

7 张文涛;彭泳;陈俊亮;;会话类E-Service的接口兼容分析[A];2006年全国通信软件学术会议论文集[C];2006年

相关重要报纸文章 前1条

1 中国电信集团北京研究院 叶华 张园;软交换规模商用的瓶颈与出路[N];通信产业报;2003年

相关博士学位论文 前6条

1 史玉良;Web服务合成的若干关键技术研究[D];复旦大学;2006年

2 孔德光;结合语义的统计机器学习方法在代码安全中应用研究[D];中国科学技术大学;2010年

3 王兰佳;基于网络的0-day多态蠕虫检测算法研究[D];清华大学;2009年

4 朱维军;时间区间时序逻辑模型检测：理论、算法及应用[D];西安电子科技大学;2011年

5 刘林源;Web服务组合隐私分析与验证研究[D];南京航空航天大学;2011年

6 陈平;代码复用攻击与防御技术研究[D];南京大学;2012年

相关硕士学位论文 前10条

1 刘晋辉;利用权能防范Suid攻击在Linux内核的实现[D];解放军信息工程大学;2004年

2 陈文娟;Linux下缓冲区溢出及防护[D];暨南大学;2007年

3 王建国;基于缓冲区溢出的攻击技术及防御策略研究[D];上海交通大学;2008年

4 罗鸿彦;基于逆向分析的缓冲区溢出漏洞挖掘技术[D];上海交通大学;2008年

5 王益宗;关于计算机网络蠕虫及其防御检测技术的研究与实现[D];电子科技大学;2007年

6 彭赞;Windows平台下缓冲区漏洞研究[D];浙江师范大学;2010年

7 匡细从;漏洞相关技术研究与漏洞数据库的设计[D];电子科技大学;2010年

8 朱志伟;Linux防火墙规则优化的研究[D];郑州大学;2006年

9 马宝红;基于网格应用的高层形式化描述[D];西安电子科技大学;2007年

10 王继伟;基于人工免疫原理的网络入侵检测研究[D];兰州大学;2007年

，

本文编号：1523985