S-Tracker:基于栈异常的shellcode检测方法

发布时间：2017-08-14 14:00

  本文关键词：S-Tracker:基于栈异常的shellcode检测方法

  更多相关文章： 软件安全 shellcode检测 栈帧遍历 栈异常 ROP攻击

【摘要】：根据shellcode的API函数及系统调用对栈帧的影响,定义了EBP异常、Ret异常和长度异常,并在此基础上提出了基于栈异常的shellcode检测方法——S-Tracker.该方法遍历特定敏感API函数的栈帧链、检测异常、定位漏洞函数和Shellcode代码,并采用栈帧重构解决了栈帧中的EBP缺失或破坏的问题.实验结果表明:S-Tracker能有效检测到基于普通shellcode、混合型shellcode以及纯ROP shellcode的攻击行为,具备追踪shellcode分布区域和EIP跳转函数的功能,且其性能开销较小、没有误报;与微软EMET工具相比,STracker在内核层实现,更加难以被攻击者绕过.
【作者单位】： 武汉大学计算机学院;武汉大学空天信息安全与可信计算教育部重点实验室;中国证券登记结算有限责任公司;
【关键词】： 软件安全 shellcode检测 栈帧遍历 栈异常 ROP攻击
【基金】：国家重点基础研究发展计划资助项目(2014CB340600) 国家自然科学基金资助项目(61332019,61373168,61202387,61202385) 中国博士后科学基金资助项目(2012M510641) 武汉市青年科技晨光计划资助项目(2012710367)
【分类号】：TP393.08
【正文快照】： 系统的开放性、交互性和软件自身缺陷导致计算机系统长期遭受漏洞利用的攻击,通过shellcode检测可及时发现和阻止攻击者实施攻击.从shellcode的代码和结构的特征,可以提炼出用于检测shellcode的启发式知识或者签名,以此来检测程序外部输入或网络流中已知的shell-code[1-3],但，

本文编号：672990