二进制代码级的漏洞攻击检测研究

发布时间：2021-07-02 17:48

　　网络攻击自从上世纪八十年代Morris蠕虫出现以来，一直给互联网和用户带来严重威胁。造成各种攻击的根源是软件漏洞。虽然工业界和学术界提出各种技术保护软件及操作系统安全，但攻击数量仍有增无减；而漏洞攻击技术也不断发展，从缓冲区溢出到最近的Return-Oriented-Programming（ROP）攻击。漏洞攻击检测是信息安全领域的研究热点，特别是如何在二进制代码级检测攻击更是业界关注的焦点，但x86指令的复杂性和WYSINWYX（What You See Is Not What YouExecute）给检测带来诸多挑战。在二进制代码级检测攻击不仅可用于攻击防御，而且能为漏洞分析和zero-day漏洞挖掘提供帮助，同时有助于设计更有效的编译器和操作系统级防御机制。然而当前漏洞攻击检测技术存在若干问题：首先，相当部分的防御检测手段都需要源码，但商业软件不提供源码；其次，大部分防御技术都是纯粹的静态或动态分析，牺牲了准确性或效率，没有将两者结合起来，特别是对于最新的ROP攻击，目前还未找到一种合适的检测方法。总的来说，当前漏洞攻击的发展给攻击检测提出了新的要求，而以Stack canary... 

【文章来源】：电子科技大学四川省 211工程院校 985工程院校 教育部直属院校

【文章页数】：154 页

【学位级别】：博士

【部分图文】：

漏洞数量统计分布图

图 2-6 Pin 内部架构间接跳转存在多个跳转地址，需要某种机制(来预测跳转跳转指令 jmp [%eax]。首先跳转到 0x70001000，并将70001000 开始存放了多个可能的目标地址。在 match1 内部较，如果不是实际跳转地址，则跳转到 match2。LookupHTa索所有可能的跳转地址。r re-allocation JIT 编译和优化时需要多个寄存器。插桩目保证使用的寄存器不能覆盖目标代码使用的寄存器。一种Pin 采用线性搜索算法[57]提前为 Pin 和 Pintool 分配寄存器]设计实现了针对内核的动态插桩。目前 BT 普遍应用于应桩难度较大。Cheng[59]等人通过动态代码重写，实现了污它的优点在于效率较高，但影响目标程序的健壮性。Wa台的二进制翻译系统 StartDBT[60]。方法比较

图 3-1 内存溢出攻击统计数据动态分析的主要技术有模糊测试、符号分析和污点分析等，其中前两种是挖掘，最后一种是攻击检测方法。Fuzzing(模糊测试)是一种动态黑盒测试方法过产生畸形输入使程序崩溃，借助外部调试器如 OllyDbg[66]、WinDbg[67]捕获异常从而发现潜在安全缺陷。Fuzzing 由威斯康星大学教授 Barton Miller[21990 年提出，最初用于测试 UNIX 程序健壮性，近年来被广泛应用在网络协议统软件的漏洞挖掘，著名的 fuzzing 工具有 SPIKE 和 Peach 等。PedramAmin

【参考文献】：
期刊论文
[1]SafeBird:一种动态和透明的运行时缓冲区溢出防御工具集[J]. 林志强,王逸,茅兵,谢立.  电子学报. 2007(05)

硕士论文
[1]软件缓冲区溢出漏洞自动化发掘系统[D]. 邵林.电子科技大学 2009



本文编号：3260931