文档类型0Day漏洞检测技术的研究与实现

发布时间：2017-06-06 10:10

  本文关键词：文档类型0Day漏洞检测技术的研究与实现，，由笔耕文化传播整理发布。

【摘要】：随着信息技术的发展,网络空间已经成为与海陆空太空并列的第五大领域,在网络空间的对抗也愈演愈烈。在网络攻击行为中,利用漏洞进行攻击是最普遍的行为,这其中0Day漏洞作为未知漏洞更能有效地完成攻击行为,因此在高强度的网络对抗中,0Day漏洞作为一种高效的手段被广泛利用,对0Day漏洞检测的研究至关重要。 本文对目前网络空间安全现状进行了研究、对传统漏洞检测技术与目前的0Day漏洞检测技术进行了分析与总结,发现目前的文档类型漏洞检测技术存在特征检测效果差、0Day漏洞检测效率低下、缺乏针对性等特点,同时利用格式化文档的0Day漏洞进行攻击是目前网络空间中最常见的攻击手段之一,因此本文将文档类型0Day漏洞检测研究作为主要研究方向,对漏洞检测技术中的shellcode检测技术、虚拟执行技术进行了重点研究。 本文研究的文档类型文件包括PDF文档、Microsoft Office文档、RTF文档以及MIME类型文档四种类型。 本文的研究工作可归纳为如下几点： 1.分析对比了漏洞检测技术尤其是0Day漏洞检测技术,采用基于攻击负载检测的思想进行文档类型0Day漏洞检测研究,提出了一个以恶意文档检测为核心,漏洞特征判断为辅助的文档类型0Day漏洞检测模型。 2.本文的检测模型利用格式化文档结构解析为基础,将不同结构的文档内容重新组织,同时利用shellcode在格式化文档中的利用的局限性与特点,以反汇编技术和虚拟执行技术为手段,实现恶意文档的检测,通过恶意文档的检测与漏洞特征的判断实现0Day漏洞的检测。 3.在本文提出的文档类型0Day漏洞检测模型基础之上,本文设计了一个B/S架构的文档类型0Day漏洞检测系统,并详细说明了系统各模块的实现,重点描述了文档类型0Day漏洞检测模型中基于文档格式解析与shellcode检测的恶意文档检测模块的实现。 4.本文利用三款杀毒软件引擎相结合,实现了一个集成杀毒软件的子系统,该系统作为本文提出的漏洞检测模型中漏洞特征判断的模块,同时可以独立运行,其独立运行的结果作为对本文实现的恶意文档检测模块的辅助验证数据。 5.本文利用在实际网络中收集的文档样本以及作者精心构造的文档样本集,以本文设计的集成杀软系统作为辅助,对本文实现的恶意文档检测模型进行了验证,验证结果说明本文提出的模型在文档漏洞检测方面效果显著,并且具备文档类型ODay漏洞检测能力。
【关键词】：0Day漏洞 漏洞检测 格式化文档 shellcode
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-6
• ABSTRACT6-10
• 第一章 绪论10-15
• 1.1 研究背景及意义10-11
• 1.2 研究现状11-13
• 1.3 论文的研究内容与结构13-15
• 第二章 漏洞检测技术15-22
• 2.1 漏洞概述15
• 2.2 静态检测技术15-17
• 2.2.1 词法语义分析技术15-16
• 2.2.2 类型推断技术16-17
• 2.2.3 模型检验技术17
• 2.3 动态检测技术17-20
• 2.3.1 Fuzzing检测技术17-18
• 2.3.2 符号执行技术18
• 2.3.3 污点分析技术18-19
• 2.3.4 虚拟执行技术19-20
• 2.4 漏洞检测技术分析20
• 2.5 文档类型漏洞检测技术20-21
• 2.6 本章小结21-22
• 第三章 文档类型0Day漏洞检测模型22-40
• 3.1 恶意文档攻击执行流程22
• 3.2 常见格式化文档结构分析22-33
• 3.2.1 PDF文档结构分析23-26
• 3.2.2 标准Microsoft Office文档结构分析26-31
• 3.2.3 通用格式文档结构分析31-33
• 3.3 shellcode的技术特点分析33-38
• 3.3.1 攻击文档中shellcode的局限性33-34
• 3.3.2 多态shellcode34-35
• 3.3.3 shellcode定位动态链接库35-36
• 3.3.4 shellcode自定位36-38
• 3.4 文档类型0Day漏洞检测模型38-39
• 3.5 本章小结39-40
• 第四章 文档类型0Day漏洞检测系统的设计与实现40-61
• 4.1 文档类型0Day漏洞检测系统概述40-42
• 4.1.1 检测系统需求分析40
• 4.1.2 系统设计40-42
• 4.2 文档类型0Day漏洞检测模型的实现42-55
• 4.2.1 文档格式解析模块的实现42-44
• 4.2.2 shellcode检测模块的实现44-53
• 4.2.3 0Day漏洞判定模块的实现53-55
• 4.3 文档类型0Day漏洞检测系统其他模块的实现55-60
• 4.3.1 交互模块的实现55-58
• 4.3.2 数据存储模块的实现58-60
• 4.4 本章小结60-61
• 第五章 文档类型0Day漏洞检测模型验证61-66
• 5.1 模型验证概述61-62
• 5.1.1 验证对象61
• 5.1.2 验证方法61-62
• 5.1.3 验证数据62
• 5.2 验证结果分析62-65
• 5.2.1 检测结果概述62-63
• 5.2.2 检测结果分析63-64
• 5.2.3 检测结果总结64-65
• 5.3 本章小结65-66
• 第六章 总结与展望66-68
• 6.1 本文工作内容总结66
• 6.2 未来工作展望66-68
• 参考文献68-70
• 致谢70-71
• 攻读学位期间发表的学术论文目录71

【参考文献】

中国期刊全文数据库 前7条

1 夏一民;罗军;张民选;;基于静态分析的安全漏洞检测技术研究[J];计算机科学;2006年10期

2 曹跃;梁晓;李毅超;黄沾;;恶意代码安全虚拟执行环境研究[J];计算机科学;2008年01期

3 夏超;邱卫东;;二进制环境下的缓冲区溢出漏洞动态检测[J];计算机工程;2008年22期

4 王蓁蓁;;模型检验综述[J];计算机科学;2013年S1期

5 王明华;应凌云;冯登国;;基于异常控制流识别的漏洞利用攻击检测方法[J];通信学报;2014年09期

6 肖锋;张玉清;;源码审核技术中的词法分析[J];中国科学院研究生院学报;2009年03期

7 梅瑞;孟正;霍玮;;典型文档类CVE漏洞检测工具的研究与实现[J];信息网络安全;2014年06期

中国博士学位论文全文数据库 前2条

1 梁晓兵;面向二进制程序漏洞挖掘的相关技术研究[D];北京邮电大学;2012年

2 刘智;二进制代码级的漏洞攻击检测研究[D];电子科技大学;2013年

  本文关键词：文档类型0Day漏洞检测技术的研究与实现，由笔耕文化传播整理发布。

本文编号：426045