网络流量中面向缓冲区溢出漏洞的恶意程序检测方法研究
发布时间:2021-09-06 12:57
随着经济的快速发展,网络正在我们生活中扮演着重要的角色,与我们的生活息息相关,给我们的生活带来了极大的便利。但与此同时,网络规模的不断增大,网络所面临的威胁也逐年增多,网络中存在着许多漏洞,攻击者通过利用这些漏洞来发起攻击,给用户造成了极大的经济损失和严重危害,进而使得人们对于网络安全的检测需求日益强烈。基于此,有许多研究人员加强了对网络流量的安全性研究,比如提出对网络流量进行分类,进而识别出含有恶意程序的流量,但是当前提出的一些方法难以准确的判别出网络流量中存在的恶意程序。同时,相关数据表明,在攻击者利用网络漏洞编写恶意程序进行网络攻击中,缓冲区溢出漏洞被攻击者编写恶意程序用以攻击的数量所占比例很大,而对于网络流量中面向缓冲区溢出的恶意程序检测的研究还很少,现有的方法在准确率和误报率上存在着不足。因此,本文选取网络流量中面向缓冲区溢出漏洞的恶意程序检测作为研究课题。为解决上述存在的问题,本文首先提出了对经典的SVM(Support Vector Machines)算法改进后的OFSVM(Optimized Facile SVM)算法,来实现对网络流量进行分类,并结合特征提取和特征降维...
【文章来源】:江苏大学江苏省
【文章页数】:84 页
【学位级别】:硕士
【部分图文】:
函数func以及对应的栈帧而在栈溢出中StackSmashing是最典型的一种,攻击者将恶意代码连同函数的输入一
网络流量中面向缓冲区溢出漏洞的恶意程序检测方法研究10据。而在其中Off-By-One是最典型的单字节缓冲区溢出,易于更改利用,同时危害较大。(3)数据段溢出堆溢出与数据段溢出是非常相似的,数据存储在某个变量中,对齐进行初始化后,当数据的长度超出了某个数据允许的范围后,就会出现数据段溢出,如图2.4所示,是一个数据段溢出的示例。图2.3StackSmashing攻击示例staticcharbuffer[128];staticint(*fptr)(constchar*bst);main(char*bst){frest=(int(*)(constchar*bst));strcpy(buffer,bst);(void)(*frest)(buffer);}图2.4数据段溢出示例(4)整数溢出何谓整数溢出,简而言之就是整数是存储在一个固定长度的内存空间中,所能存储的最大值和最小值都是固定的,在存储一个超过这范围的数据时,就会发生整数溢出。通常情况下整数溢出不会改写内存,也不会导致执行恶意代码,但是其会引发堆溢出和栈溢出,进而产生一些危害,同时当整数变量作用在类似于数组有访问边界时,也会产生安全问题。在整数溢出发生后,通常是不容易被检测出,所以需要找出一个有效的方法来检查出该缓
网络流量中面向缓冲区溢出漏洞的恶意程序检测方法研究22示流量特征属性r的平均值。=∑()∑(3.2)图3.1特征降维流程图在通过利用上述方法进行特征降维后,可以进一步简化之前提取的特征集合,消除冗余的特征,且这样保留的一些特征是趋近不相关的,更有利于进行分类,最终特征降维的集合如表3.2所示。
【参考文献】:
期刊论文
[1]缓冲区溢出漏洞分析技术研究进展[J]. 邵思豪,高庆,马森,段富尧,马骁,张世琨,胡津华. 软件学报. 2018(05)
[2]Detecting Integer Overflow Vulnerabilities in Binary Executables Based on Target Filtering and Dynamic Taint Tracing[J]. CUI Baojiang,LIANG Xiaobing,ZHAO Bing,ZHAI Feng,WANG Jianxin. Chinese Journal of Electronics. 2014(02)
[3]基于最短划分距离的网络流量决策树分类方法[J]. 杨哲,李领治,纪其进,朱艳琴. 通信学报. 2012(03)
[4]一种防止缓冲区溢出的整数溢出检测方法(英文)[J]. 张实睿,许蕾,徐宝文. Journal of Southeast University(English Edition). 2009(02)
[5]二进制环境下的缓冲区溢出漏洞动态检测[J]. 夏超,邱卫东. 计算机工程. 2008(22)
本文编号:3387503
【文章来源】:江苏大学江苏省
【文章页数】:84 页
【学位级别】:硕士
【部分图文】:
函数func以及对应的栈帧而在栈溢出中StackSmashing是最典型的一种,攻击者将恶意代码连同函数的输入一
网络流量中面向缓冲区溢出漏洞的恶意程序检测方法研究10据。而在其中Off-By-One是最典型的单字节缓冲区溢出,易于更改利用,同时危害较大。(3)数据段溢出堆溢出与数据段溢出是非常相似的,数据存储在某个变量中,对齐进行初始化后,当数据的长度超出了某个数据允许的范围后,就会出现数据段溢出,如图2.4所示,是一个数据段溢出的示例。图2.3StackSmashing攻击示例staticcharbuffer[128];staticint(*fptr)(constchar*bst);main(char*bst){frest=(int(*)(constchar*bst));strcpy(buffer,bst);(void)(*frest)(buffer);}图2.4数据段溢出示例(4)整数溢出何谓整数溢出,简而言之就是整数是存储在一个固定长度的内存空间中,所能存储的最大值和最小值都是固定的,在存储一个超过这范围的数据时,就会发生整数溢出。通常情况下整数溢出不会改写内存,也不会导致执行恶意代码,但是其会引发堆溢出和栈溢出,进而产生一些危害,同时当整数变量作用在类似于数组有访问边界时,也会产生安全问题。在整数溢出发生后,通常是不容易被检测出,所以需要找出一个有效的方法来检查出该缓
网络流量中面向缓冲区溢出漏洞的恶意程序检测方法研究22示流量特征属性r的平均值。=∑()∑(3.2)图3.1特征降维流程图在通过利用上述方法进行特征降维后,可以进一步简化之前提取的特征集合,消除冗余的特征,且这样保留的一些特征是趋近不相关的,更有利于进行分类,最终特征降维的集合如表3.2所示。
【参考文献】:
期刊论文
[1]缓冲区溢出漏洞分析技术研究进展[J]. 邵思豪,高庆,马森,段富尧,马骁,张世琨,胡津华. 软件学报. 2018(05)
[2]Detecting Integer Overflow Vulnerabilities in Binary Executables Based on Target Filtering and Dynamic Taint Tracing[J]. CUI Baojiang,LIANG Xiaobing,ZHAO Bing,ZHAI Feng,WANG Jianxin. Chinese Journal of Electronics. 2014(02)
[3]基于最短划分距离的网络流量决策树分类方法[J]. 杨哲,李领治,纪其进,朱艳琴. 通信学报. 2012(03)
[4]一种防止缓冲区溢出的整数溢出检测方法(英文)[J]. 张实睿,许蕾,徐宝文. Journal of Southeast University(English Edition). 2009(02)
[5]二进制环境下的缓冲区溢出漏洞动态检测[J]. 夏超,邱卫东. 计算机工程. 2008(22)
本文编号:3387503
本文链接:https://www.wllwen.com/kejilunwen/sousuoyinqinglunwen/3387503.html
