本文關(guān)鍵詞：多態(tài)shellcode檢測方法研究

  更多相關(guān)文章： 多態(tài)shellcode 動(dòng)態(tài)模擬 行為模式匹配

【摘要】：在以往的多態(tài)shellcode檢測方法中,基于模擬的動(dòng)態(tài)檢測方法主要針對(duì)多態(tài)shellcode的解碼器部分進(jìn)行檢測。盡管這樣的檢測方法可以在一定程度上檢測出目標(biāo),但其性能和抗攻擊性較差。為了進(jìn)一步提高檢測準(zhǔn)確率并降低誤報(bào)率,在已有的基于模擬的動(dòng)態(tài)檢測方法基礎(chǔ)上進(jìn)行了改進(jìn),引入了shellcode行為模式匹配機(jī)制,按照條件將多態(tài)shellcode解碼后的行為與常見的攻擊行為模式進(jìn)行匹配,以判斷并定位有效負(fù)載的位置。最后借助于Libemu系統(tǒng)對(duì)上述方法進(jìn)行了實(shí)現(xiàn)和測試,從Metasploit和Nepenthes中提取shellcode樣本,并使用編碼器生成多態(tài)樣本,從檢測率和誤報(bào)率兩方面對(duì)方法進(jìn)行了檢驗(yàn),實(shí)驗(yàn)證明了該方法有更高的有效性與穩(wěn)定性。
【作者單位】： 武警工程大學(xué)研究生管理大隊(duì);武警工程大學(xué)電子技術(shù)系;
【分類號(hào)】：TP393.08
【正文快照】： 緩沖區(qū)溢出漏洞是一種眾所周知的高危漏洞,現(xiàn)代電腦的數(shù)據(jù)代碼不分離的結(jié)構(gòu),決定了其在未來很長一段時(shí)間內(nèi)都將會(huì)是計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重災(zāi)區(qū)。攻擊者一般可利用溢出漏洞進(jìn)行惡意代碼shellcode的注入,獲取系統(tǒng)的控制權(quán),許多蠕蟲病毒也利用該方式進(jìn)行攻擊。因此對(duì)shellcode的檢測，

本文編號(hào)：1206128