本文關(guān)鍵詞：多態(tài)shellcode檢測方法研究

  更多相關(guān)文章： 多態(tài)shellcode 動態(tài)模擬 行為模式匹配

【摘要】：在以往的多態(tài)shellcode檢測方法中,基于模擬的動態(tài)檢測方法主要針對多態(tài)shellcode的解碼器部分進行檢測。盡管這樣的檢測方法可以在一定程度上檢測出目標,但其性能和抗攻擊性較差。為了進一步提高檢測準確率并降低誤報率,在已有的基于模擬的動態(tài)檢測方法基礎(chǔ)上進行了改進,引入了shellcode行為模式匹配機制,按照條件將多態(tài)shellcode解碼后的行為與常見的攻擊行為模式進行匹配,以判斷并定位有效負載的位置。最后借助于Libemu系統(tǒng)對上述方法進行了實現(xiàn)和測試,從Metasploit和Nepenthes中提取shellcode樣本,并使用編碼器生成多態(tài)樣本,從檢測率和誤報率兩方面對方法進行了檢驗,實驗證明了該方法有更高的有效性與穩(wěn)定性。
【作者單位】： 武警工程大學研究生管理大隊;武警工程大學電子技術(shù)系;
【分類號】：TP393.08
【正文快照】： 緩沖區(qū)溢出漏洞是一種眾所周知的高危漏洞,現(xiàn)代電腦的數(shù)據(jù)代碼不分離的結(jié)構(gòu),決定了其在未來很長一段時間內(nèi)都將會是計算機網(wǎng)絡(luò)的一個重災(zāi)區(qū)。攻擊者一般可利用溢出漏洞進行惡意代碼shellcode的注入,獲取系統(tǒng)的控制權(quán),許多蠕蟲病毒也利用該方式進行攻擊。因此對shellcode的檢測，

本文編號：1206128