本文關(guān)鍵詞： 多態(tài)Shellcode GetPC定位 指令識(shí)別 虛擬機(jī) 控制流模式 數(shù)據(jù)流模式 Define-Use鏈　出處：《計(jì)算機(jī)研究與發(fā)展》2014年08期 　論文類(lèi)型：期刊論文

【摘要】：近年來(lái),Shellcode攻擊通常利用多態(tài)技術(shù)進(jìn)行自我加密來(lái)繞過(guò)網(wǎng)絡(luò)層設(shè)備的檢測(cè),而現(xiàn)有檢測(cè)方法無(wú)法區(qū)分多態(tài)Shellcode與加殼保護(hù)代碼.提出了一種基于雙模式虛擬機(jī)的多態(tài)Shellcode檢測(cè)方法,該方法改進(jìn)了現(xiàn)有的GetPC定位機(jī)制,實(shí)現(xiàn)了Shellcode的初步定位,通過(guò)IA-32指令識(shí)別對(duì)網(wǎng)絡(luò)流量的進(jìn)行進(jìn)一步過(guò)濾,利用有限自動(dòng)機(jī)及其判別條件實(shí)現(xiàn)虛擬機(jī)控制流模式和數(shù)據(jù)流模式之間的切換,并通過(guò)結(jié)合現(xiàn)有的特征匹配技術(shù)實(shí)現(xiàn)對(duì)多層加密的多態(tài)Shellcode的檢測(cè).實(shí)驗(yàn)結(jié)果表明,針對(duì)大量真實(shí)的網(wǎng)絡(luò)數(shù)據(jù),該方法在保證高檢測(cè)召回率的同時(shí),能夠?qū)崿F(xiàn)對(duì)多態(tài)Shellcode與加殼保護(hù)軟件的有效區(qū)分,避免了對(duì)正常流量的誤報(bào)行為,并且時(shí)間開(kāi)銷(xiāo)介于靜態(tài)分析與動(dòng)態(tài)模擬之間,為網(wǎng)絡(luò)層檢測(cè)多態(tài)Shellcode提供了一種有效方法.
[Abstract]:In recent years, shell code attacks usually use polymorphic techniques to self-encrypt to bypass the detection of network layer devices. However, the existing detection methods can not distinguish between polymorphic Shellcode and shell protection code. A new detection method of polymorphic Shellcode based on dual-mode virtual machine is proposed. This method improves the existing GetPC location mechanism, realizes the initial positioning of Shellcode, and filters the network traffic through IA-32 instruction recognition. The switching between the control flow mode and the data flow mode of virtual machine is realized by using finite automata and its discriminant conditions. The detection of multi-layer encrypted polymorphic Shellcode is realized by combining the existing feature matching technology. The experimental results show that a large number of real network data. This method can effectively distinguish the polymorphic Shellcode from the shell protection software while ensuring high detection recall rate, and avoids the false positive behavior of the normal flow rate. The time cost is between static analysis and dynamic simulation, which provides an effective method for network layer detection of polymorphic Shellcode.
【作者單位】： 北京航空航天大學(xué)網(wǎng)絡(luò)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室;
【基金】：國(guó)家自然科學(xué)基金項(xiàng)目(61170295) 國(guó)防基礎(chǔ)科研計(jì)劃項(xiàng)目(A2120110006) 北京市教育委員會(huì)共建項(xiàng)目建設(shè)計(jì)劃項(xiàng)目(JD100060630) 中航工業(yè)產(chǎn)學(xué)研項(xiàng)目(CXY2011BH07)
【分類(lèi)號(hào)】：TP393.08
【正文快照】： 蠕蟲(chóng)、病毒等惡意代碼可以利用網(wǎng)絡(luò)進(jìn)行自我復(fù)制和傳播,從而對(duì)計(jì)算機(jī)安全造成重大危害.這些惡意代碼通常以堆棧攻擊[1-2]作為其主要網(wǎng)絡(luò)入侵手段.堆棧攻擊主要通過(guò)向遠(yuǎn)程主機(jī)發(fā)送畸形數(shù)據(jù)包,利用遠(yuǎn)程主機(jī)系統(tǒng)或軟件的缺陷,淹沒(méi)其返回地址,劫持進(jìn)程使之跳轉(zhuǎn)到畸形數(shù)據(jù)包附帶的S

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 文征,徐成,李仁發(fā);Java技術(shù)在嵌入式實(shí)時(shí)操作系統(tǒng)上的實(shí)現(xiàn)[J];科學(xué)技術(shù)與工程;2005年03期

2 倪曉宇,易紅,倪中華,湯文成;基于虛擬機(jī)的B/S協(xié)同系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)集成制造系統(tǒng)-CIMS;2005年02期

3 劉暉;;系統(tǒng)問(wèn)答[J];電腦迷;2005年05期

4 劉猛;王中生;趙紅毅;;基于Honeynet系統(tǒng)的Linux日志記錄研究[J];電腦知識(shí)與技術(shù)(學(xué)術(shù)交流);2006年36期

5 張振倫;;虛擬機(jī)的演化[J];軟件世界;2007年13期

6 娟子;;惡意軟件瞄準(zhǔn)虛擬技術(shù)[J];信息系統(tǒng)工程;2008年02期

7 黃金敢;;基于Integrity VM技術(shù)的服務(wù)器整合設(shè)計(jì)[J];福建電腦;2008年06期

8 基地;;關(guān)于Windows 7 的風(fēng)言風(fēng)雨[J];現(xiàn)代計(jì)算機(jī)(普及版);2008年04期

9 ;打造虛擬存儲(chǔ)平臺(tái)：Hyper-V+NetApp[J];微電腦世界;2009年02期

10 魏楚元;;虛擬機(jī)應(yīng)用于高校數(shù)據(jù)中心[J];中國(guó)教育網(wǎng)絡(luò);2009年04期

相關(guān)會(huì)議論文 前10條

1 孟廣平;;虛擬機(jī)漂移網(wǎng)絡(luò)連接方法探討[A];中國(guó)計(jì)量協(xié)會(huì)冶金分會(huì)2011年會(huì)論文集[C];2011年

2 汝學(xué)民;莊越挺;;計(jì)算機(jī)病毒技術(shù)的發(fā)展與防范[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

3 陳曉東;俞承芳;李旦;;基于FPGA的神經(jīng)網(wǎng)絡(luò)控制器及其應(yīng)用[A];第六屆全國(guó)信息獲取與處理學(xué)術(shù)會(huì)議論文集（3）[C];2008年

4 王軼;陳俊輝;;使用VPC2007搭建企業(yè)應(yīng)用和測(cè)試平臺(tái)[A];2007第二屆全國(guó)廣播電視技術(shù)論文集2（下）[C];2007年

5 于洋;陳曉東;俞承芳;李旦;;基于FPGA平臺(tái)的虛擬機(jī)建模與仿真[A];2007'儀表，自動(dòng)化及先進(jìn)集成技術(shù)大會(huì)論文集（一）[C];2007年

6 劉孟全;;服務(wù)器虛擬化相關(guān)問(wèn)題分析[A];廣西計(jì)算機(jī)學(xué)會(huì)2009年年會(huì)論文集[C];2009年

7 李永;吳慶波;蘇航;;基于虛擬機(jī)的動(dòng)態(tài)遷移技術(shù)分析和研究[A];計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展·2007——全國(guó)第18屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集[C];2007年

8 李鋼;應(yīng)晶;;C2000語(yǔ)言:一種工業(yè)監(jiān)控組態(tài)語(yǔ)言[A];2005中國(guó)控制與決策學(xué)術(shù)年會(huì)論文集（下）[C];2005年

9 向永謙;崔競(jìng)松;;基于vSphere的安全管理套件[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

10 成鵬;張建生;延?jì)I妮;;虛擬化架構(gòu)研究及其在新華社采編系統(tǒng)中的應(yīng)用[A];中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)五屆一次理事會(huì)暨學(xué)術(shù)年會(huì)論文集（上篇）[C];2009年

相關(guān)重要報(bào)紙文章 前10條

1 ;利用工具解決虛擬機(jī)監(jiān)測(cè)難題[N];網(wǎng)絡(luò)世界;2007年

2 ;虛擬機(jī)管理工具仍有改進(jìn)空間[N];網(wǎng)絡(luò)世界;2007年

3 ;加強(qiáng)虛擬服務(wù)器安全的10個(gè)步驟[N];計(jì)算機(jī)世界;2008年

4 特約作者：聶陽(yáng)德 鐘達(dá)文;體驗(yàn)虛擬機(jī)的神奇魅力(第B04版)[N];電腦報(bào);2002年

5 江蘇 王志軍;用好虛擬機(jī)VMware[N];電腦報(bào);2002年

6 薛啟康;VMware虛擬機(jī)的文件級(jí)備份[N];中國(guó)計(jì)算機(jī)報(bào);2007年

7 ;BEA發(fā)布新版本Java虛擬機(jī)[N];人民郵電;2007年

8 電腦商報(bào)記者 張戈;趨勢(shì)科技的一大步[N];電腦商報(bào);2011年

9 編譯 沈建苗;虛擬化技術(shù)的安全價(jià)值[N];計(jì)算機(jī)世界;2007年

10 河北科技大學(xué) 任文霞邋河北經(jīng)貿(mào)大學(xué) 王春海;在U盤(pán)上定制個(gè)人PC[N];中國(guó)計(jì)算機(jī)報(bào);2008年

相關(guān)博士學(xué)位論文 前10條

1 董玉雙;云平臺(tái)中虛擬機(jī)部署的關(guān)鍵問(wèn)題研究[D];吉林大學(xué);2014年

2 杜雨陽(yáng);虛擬機(jī)狀態(tài)遷移和相變存儲(chǔ)磨損均衡方法研究[D];清華大學(xué);2011年

3 趙佳;虛擬機(jī)動(dòng)態(tài)遷移的關(guān)鍵問(wèn)題研究[D];吉林大學(xué);2013年

4 陳華才;虛擬化環(huán)境中計(jì)算效能優(yōu)化研究[D];華中科技大學(xué);2011年

5 AHMED ELSAYED SALLAM;[D];湖南大學(xué);2013年

6 唐遇星;面向動(dòng)態(tài)二進(jìn)制翻譯的動(dòng)態(tài)優(yōu)化和微處理器體系結(jié)構(gòu)支撐技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2005年

7 丁靖宇;面向企業(yè)虛擬私有云的虛擬專(zhuān)用網(wǎng)技術(shù)研究[D];東華大學(xué);2012年

8 黃道超;智慧云網(wǎng)絡(luò)動(dòng)態(tài)資源適配關(guān)鍵技術(shù)研究[D];北京交通大學(xué);2013年

9 楊偉建;面向HDTV信源集成解碼芯片的軟硬件協(xié)同設(shè)計(jì)研究[D];浙江大學(xué);2001年

10 張雪松;軟件迷惑技術(shù)研究[D];吉林大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 邱華;用于工業(yè)自動(dòng)化設(shè)備互聯(lián)的設(shè)備描述語(yǔ)言的定義和實(shí)現(xiàn)[D];華東師范大學(xué);2006年

2 褚亞銘;一個(gè)教學(xué)用微內(nèi)核操作系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];蘇州大學(xué);2005年

3 閆玉忠;串行程序并行化技術(shù)研究與一種新實(shí)現(xiàn)構(gòu)想[D];西南交通大學(xué);2003年

4 張凱龍;傳統(tǒng)OA的Linux中間件平臺(tái)移植技術(shù)及其實(shí)現(xiàn)[D];西北工業(yè)大學(xué);2003年

5 賈希強(qiáng);嵌入式數(shù)字電視中間件技術(shù)研究與實(shí)現(xiàn)[D];西北工業(yè)大學(xué);2004年

6 李芳;數(shù)控系統(tǒng)中嵌入式PLC虛擬機(jī)的研究與開(kāi)發(fā)[D];北京工業(yè)大學(xué);2005年

7 覃安;計(jì)算機(jī)代數(shù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];中國(guó)科學(xué)院研究生院（成都計(jì)算機(jī)應(yīng)用研究所）;2006年

8 陸曉雯;虛擬機(jī)資源監(jiān)測(cè)調(diào)整機(jī)制研究[D];華中科技大學(xué);2008年

9 吳俊;基于RISC結(jié)構(gòu)的ASIP設(shè)計(jì)[D];浙江大學(xué);2002年

10 楊敏華;Java AWT的分析與實(shí)現(xiàn)[D];西北工業(yè)大學(xué);2005年

，

本文編號(hào)：1448898