基于数据挖掘算法的shellcode检测研究与实现

发布时间：2018-10-12 19:42

【摘要】：二进制程序安全一直是安全领域的重中之重。Shellcode是二进制程序漏洞利用的核心代码,是取得目标机器控制权进而达到攻击者想要执行的操作必不可少的一小段二进制字节。因此对shellcode的检测是二进制程序安全防护中非常重要的一部分。Shellcode可能内嵌于暗藏恶意的本地的文件中,也可能出现在注入攻击的网络流量之中。对shellcode进行检测,是网络IDS、蜜罐系统等必不可少的核心功能。常规的shellcode检测技术依靠人工提取的静态字节特征进行检测,随着网络攻击和防御技术地协同进化,不断有新的编写技术、变形技术、编码技术和多态技术被用来规避针对shellcode的检测,当今的常规检测方案已经渐渐不能适应日益复杂多变的网络安全环境。本文针对shellcode的检测问题进行了分析研究,提出并实现了一种基于数据挖掘算法的shellcode检测模型。首先,本文针对各种shellcode技术进行了说明,论证了基于指令序列建模的可行性。其次,分析和比对了静态和动态方法获取指令序列的优势劣势,论证了选取静态反汇编的可行性和必然性。再次,本文将自然语言处理中的词袋模型应用到shellcode检测的具体场景,使得本系统不依赖于特定的特征而从数据中自动学习特征,因此能实现更广范围的检测和更高的准确率。接着,本文在模型的基础上设计和实现了一个流量shellcode检测系统,通过一个统一的模型对shellcode解码段和普通shellcode进行双层检测,保证了其对各种shellcode的检测能力。最后,通过可靠来源的数据集设计实验,验证了该基于数据挖掘算法shellcode检测模型的有效性,验证了流量shellcode检测系统的检测效果。本文设计和实现的系统和shellcode检测库libemu进行了对比实验。实验表明,本文的系统有更好的检测效果和更全面的检测范围。其对采用多种技术的普通、变形、编码和多态shellcode都具有较好的检测效果和较高的检测效率。
[Abstract]:Binary program security has always been the top priority in the field of security. Shellcode is the core code to exploit the vulnerability of binary programs, and it is a necessary bit of binary bytes to gain control of the target machine and to achieve the operations an attacker wants to perform. Therefore the detection of shellcode is a very important part of binary program security. Shellcode may be embedded in malicious local files or in the network traffic of injection attack. The detection of shellcode is the essential core function of network IDS, honeypot system. The conventional shellcode detection technology relies on the static byte features extracted by hand to detect. With the coevolution of network attack and defense technology, there are constantly new programming techniques and deformation techniques. Coding techniques and polymorphic techniques are used to avoid the detection of shellcode. Nowadays, the conventional detection schemes are gradually unable to adapt to the increasingly complex and changeable network security environment. In this paper, the detection problem of shellcode is analyzed, and a shellcode detection model based on data mining algorithm is proposed and implemented. Firstly, this paper explains various shellcode technologies and demonstrates the feasibility of modeling based on instruction sequence. Secondly, the advantages and disadvantages of obtaining instruction sequences by static and dynamic methods are analyzed and compared, and the feasibility and inevitability of selecting static disassembly are demonstrated. Thirdly, this paper applies the word bag model in natural language processing to the specific scene of shellcode detection, so that the system can automatically learn features from the data without relying on specific features, so that it can achieve a wider range of detection and higher accuracy. Then, a traffic shellcode detection system is designed and implemented on the basis of the model. A unified model is used to detect the shellcode decoding segment and the ordinary shellcode, which ensures the detection ability of the shellcode. Finally, the validity of the shellcode detection model based on the data mining algorithm is verified by the data set design experiment of reliable sources, and the detection effect of the traffic shellcode detection system is verified. The system designed and implemented in this paper is compared with shellcode detection library libemu. Experiments show that the system has better detection effect and more comprehensive detection range. It has better detection effect and higher detection efficiency for common, deformation, coding and polymorphic shellcode.
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP309;TP311.13

【相似文献】

相关期刊论文 前10条

1 陈文锋;;基于统计信息的数据挖掘算法[J];统计与决策;2008年15期

2 王清毅,张波,蔡庆生;目前数据挖掘算法的评价[J];小型微型计算机系统;2000年01期

3 胡浩纹,魏军,胡涛;模糊数据挖掘算法在人力资源管理中的应用[J];计算机与数字工程;2002年05期

4 万国华,陈宇晓;数据挖掘算法及其在股市技术分析中的应用[J];计算机应用;2004年11期

5 文俊浩,胡显芝,何光辉,徐玲;小波在数据挖掘算法中的运用[J];重庆大学学报(自然科学版);2004年12期

6 邹志文,朱金伟;数据挖掘算法研究与综述[J];计算机工程与设计;2005年09期

7 赵泽茂,何坤金,胡友进;基于距离的异常数据挖掘算法及其应用[J];计算机应用与软件;2005年09期

8 赵晨,诸静;过程控制中的一种数据挖掘算法[J];武汉大学学报(工学版);2005年05期

9 王振华,柴玉梅;基于决策树的分布式数据挖掘算法研究[J];河南科技;2005年02期

10 胡作霆;董兰芳;王洵;;图的数据挖掘算法研究[J];计算机工程;2006年03期

相关会议论文 前10条

1 贺炜;邢春晓;潘泉;;因果不完备条件下的数据挖掘算法[A];第二十二届中国数据库学术会议论文集（技术报告篇）[C];2005年

2 刘玲;张兴会;;基于神经网络的数据挖掘算法研究[A];全国第二届信号处理与应用学术会议专刊[C];2008年

3 陈曦;曾凡锋;;数据挖掘算法在风险评估中的应用[A];2007通信理论与技术新发展——第十二届全国青年通信学术会议论文集（上册）[C];2007年

4 郭新宇;梁循;;大型数据库中数据挖掘算法SLIQ的研究及仿真[A];2004年中国管理科学学术会议论文集[C];2004年

5 张沫;栾媛媛;秦培玉;罗丹;;基于聚类算法的多维客户行为细分模型研究与实现[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年

6 潘国林;杨帆;;数据挖掘算法在保险客户分析中的应用[A];全国第20届计算机技术与应用学术会议（CACIS·2009）暨全国第1届安全关键技术与应用学术会议论文集（上册）[C];2009年

7 张乃岳;张力;张学燕;;基于字段匹配的CRM数据挖掘算法与应用[A];逻辑学及其应用研究——第四届全国逻辑系统、智能科学与信息科学学术会议论文集[C];2008年

8 祖巧红;陈定方;胡吉全;;客户分析中的数据挖掘算法比较研究[A];12省区市机械工程学会2006年学术年会湖北省论文集[C];2006年

9 李怡凌;马亨冰;;一种基于本体的关联规则挖掘算法[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（下册）[C];2008年

10 盛立;刘希玉;高明;;基于粗糙集理论的数据挖掘算法研究[A];山东省计算机学会2005年信息技术与信息化研讨会论文集（二）[C];2005年

相关重要报纸文章 前1条

1 ;选择合适的数据挖掘算法[N];计算机世界;2007年

相关博士学位论文 前4条

1 陈云开;基于粗糙集和聚类的数据挖掘算法及其在反洗钱中的应用研究[D];华中科技大学;2007年

2 张静;基于粗糙集理论的数据挖掘算法研究[D];西北工业大学;2006年

3 沙朝锋;基于信息论的数据挖掘算法[D];复旦大学;2008年

4 梁瑾;模糊粗糙单调数据挖掘算法及在污水处理中应用研究[D];华南理工大学;2011年

相关硕士学位论文 前10条

1 刘宇扬;基于数据挖掘算法的shellcode检测研究与实现[D];北京邮电大学;2016年

2 谢亚鑫;基于Hadoop的数据挖掘算法的研究[D];华北电力大学;2015年

3 彭军;基于新型异构计算平台的数据挖掘算法研究与实现[D];电子科技大学;2015年

4 杨维;基于Hadoop的健康物联网数据挖掘算法研究与实现[D];东北大学;2013年

5 张永芳;基于Hadoop平台的并行数据挖掘算法研究[D];安徽理工大学;2016年

6 李围成;基于FP-树的时空数据挖掘算法研究[D];河南工业大学;2016年

7 官凯;基于MapReduce的图挖掘研究[D];贵州师范大学;2016年

8 陈名辉;基于YARN和Spark框架的数据挖掘算法并行研究[D];湖南师范大学;2016年

9 刘少龙;面向大数据的高效数据挖掘算法研究[D];华北电力大学(北京);2016年

10 罗俊;数据挖掘算法的并行化研究及其应用[D];青岛大学;2016年

，

本文编号：2267369