面向网络流的漏洞攻击检测研究

发布时间：2017-04-05 21:10

  本文关键词：面向网络流的漏洞攻击检测研究，由笔耕文化传播整理发布。

【摘要】：随着计算机网络的发展和普及,漏洞攻击由于其普遍存在、影响广泛以及后果严重等特性已成为网络安全的主要问题之一。目前,相关安全研究人员已提出很多针对漏洞攻击的防御策略和检测机制,但网络安全形势仍然严峻,研究如何有效地检测网络流中的漏洞攻击依然是信息安全领域的核心问题之一。漏洞攻击检测可以从程序外部和内部来进行。从程序内部检测是指当攻击发生时监控程序的运行状态,检查程序控制流等敏感数据是否被篡改,从而判断程序是否遭受漏洞攻击；而从程序外部检测是指依据攻击代码(shellcode)本身的特征检测漏洞攻击,可以及时地发现输入流中的攻击代码并阻止攻击。Shellcode在某种特定硬件平台上的特征相对固定,不会随着攻击方式的改变而轻易改变,因此对shellcode进行检测是一种比较有效的漏洞攻击防御手段。目前,shellcode检测方法大体上分为静态和动态两类方法,其中静态方法具有检测速度上的优势,而动态方法具有检测准确性上的优势。然而很多现有检测机制是纯粹的静态或者动态方法,牺牲了检测的效率或准确性,没有把两者的优势融合起来；此外,多态、变形和ROP等新兴技术的运用给shellcode的检测带来了新的挑战。单纯的静态或者动态方法已经无法满足对于目前漏洞攻击的检测需求。本文从攻击者的角度切入研究,首先介绍了漏洞攻击的基础知识,分析对比了常用攻击手段的技术特点；然后通过对攻击载体——shellcode的实现原理及其检测技术进行深入研究,提出三类新的启发式规则；最后将静态分析和动态执行方法相结合,提出一种shellcode混合检测方法。综上所述,本文立足于从程序外部检测漏洞攻击,对shellcode实现原理及其检测技术进行深入研究,取得了两方面的成果：1.提出了三类新的启发式规则。针对现有检测方法对分段式shellcode的检测支持不足的问题提出了LEH、FDR、TIAT等三类新的启发式规则,有效地增强了现有方法对于分段式shellcode的检测效果。2.提出一种shellcode混合检测方法。不同于单纯的静态或动态方法,新方法将两者相结合,既保留了动态方法的准确性优势,又综合了静态方法在检测效率上的优势,找到了一种平衡准确性和效率的有效途径。实验结果表明,提出的新启发式规则能有效地识别出对应的分段式shellcode,同时新方法拥有良好的检测效率。
【关键词】：shellcode 新启发式规则 漏洞攻击 混合检测
【学位授予单位】：广西大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 绪论11-16
• 1.1 研究背景及意义11-12
• 1.2 研究现状12-14
• 1.3 本文研究工作14-15
• 1.4 论文组织结构15-16
• 第二章 漏洞攻击基础知识16-25
• 2.1 漏洞攻击概述16-17
• 2.2 常见漏洞攻击17-21
• 2.2.1 栈溢出17-19
• 2.2.2 堆溢出19-20
• 2.2.3 格式化串溢出20-21
• 2.2.4 Return-into-libc攻击21
• 2.3 漏洞攻击防御21-22
• 2.3.1 漏洞预防21-22
• 2.3.2 攻击检测22
• 2.4 已采用的防御策略22-24
• 2.4.1 DEP22-23
• 2.4.2 ASLR23-24
• 2.5 本章小节24-25
• 第三章 SHELLCODE特征分析与规则提取25-39
• 3.1 SHELLCODE概述25-27
• 3.2 攻击实现方式27-30
• 3.2.1 静态地址定位27-28
• 3.2.2 跳板指令定位28
• 3.2.3 另一种定位方式28-30
• 3.3 特征分析30-34
• 3.3.1 伪装技巧30-33
• 3.3.2 内存布局33-34
• 3.4 新启发式规则34-38
• 3.4.1 LEH35-36
• 3.4.2 FDR36-37
• 3.4.3 TIAT37-38
• 3.5 本章小节38-39
• 第四章 一种SHELLCODE混合检测方法39-46
• 4.1 背景知识39-40
• 4.1.1 检测概述39
• 4.1.2 相关研究39-40
• 4.2 现有方法对比40-41
• 4.3 一种混合检测方法41-44
• 4.3.1 检测概述41
• 4.3.2 框架设计41-43
• 4.3.3 方法实现43-44
• 4.4 检测优化44-45
• 4.4.1 重叠式流分割策略45
• 4.4.2 汇编指令缓存策略45
• 4.4.3 模拟执行优化策略45
• 4.5 本章小结45-46
• 第五章 实验结果与分析46-50
• 5.1 新规则有效性验证46-49
• 5.1.1 实验方法和步骤46-47
• 5.1.2 检测覆盖率47-48
• 5.1.3 检测准确性48-49
• 5.2 混合检测的时间复杂度49
• 5.3 本章小节49-50
• 第六章 总结和展望50-52
• 6.1 本文总结50-51
• 6.2 下一步工作51-52
• 参考文献52-57
• 致谢57-58
• 攻读学位期间发表的学术论文58

【参考文献】

中国期刊全文数据库 前8条

1 罗杨;夏春和;李亚卓;魏昭;梁晓艳;;一种基于双模式虚拟机的多态Shellcode检测方法[J];计算机研究与发展;2014年08期

2 董鹏程;康绯;舒辉;;一种shellcode动态检测与分析技术[J];小型微型计算机系统;2013年07期

3 韩浩;茅兵;谢立;;针对ROP攻击的动态运行时检测系统[J];计算机工程;2012年04期

4 赵帅;丁保贞;沈备军;林九川;;动静结合的攻击代码检测方法[J];计算机科学;2011年12期

5 彭贺峰;何丰;;针对非控制数据的缓冲区溢出保护程序[J];计算机技术与发展;2011年12期

6 张登银;洪福鑫;;典型Shellcode引擎特征检测方法研究[J];计算机技术与发展;2010年01期

7 王兰佳;段海新;李星;;基于动态模拟的多态Shellcode检测系统[J];计算机工程;2008年13期

8 徐启杰;薛质;;缓冲区溢出攻击检测技术的分析和研究[J];计算机工程;2007年16期

  本文关键词：面向网络流的漏洞攻击检测研究，由笔耕文化传播整理发布。

，

本文编号：287693