本文選題：信息安全 + 緩沖區(qū)溢出　； 參考：《東北大學》2014年碩士論文

【摘要】：自1988年首個利用緩沖區(qū)溢出漏洞進行傳播的病毒Morris爆發(fā)以來,緩沖區(qū)溢出攻擊就一直是計算機安全中最嚴重的攻擊行為之一。近些年,它又成為了高級持續(xù)性威脅APT (Advanced Persistent Threat)的主要攻擊手段。在針對伊朗核設施的APT行動中,就利用了7個緩沖區(qū)溢出漏洞。雖然工業(yè)界和學術界提出各種技術保護軟件及操作系統(tǒng)安全,但攻擊數量仍有增無減。而漏洞攻擊技術也不斷發(fā)展,從緩沖區(qū)溢出到最近的ROP (Return-Oriented-Programming)攻擊。漏洞攻擊檢測是信息安全領域的研究熱點,特別是如何在二進制代碼級檢測攻擊更是業(yè)界關注的焦點,但x86指令的復雜性給檢測帶來諸多挑戰(zhàn)。本文針對緩沖區(qū)溢出攻擊時,攻擊代碼來源于程序接收的輸入數據這一特點,提出了一種基于數據不可信的檢測方法。當程序修改流程時,如果將要執(zhí)行的代碼是輸入數據的子串,就表明發(fā)生了緩沖區(qū)溢出攻擊。為了避免頻繁進行攻擊代碼匹配所帶來的巨大額外開銷,本文提出了一個預處理方法,將顯然合法的跳轉目的地址與可疑的跳轉目的地址區(qū)分出來,只對可疑的跳轉進行攻擊代碼匹配,這種方式可以有效地降低額外開銷。對于ROP攻擊,由于在ROP攻擊時ROP鏈也是源于原始數據,因此數據不可信的思想同樣可以用于檢測ROP攻擊。本文提出了一個基于數據不可信的ROP攻擊檢測方法,檢測到疑似ROP鏈時,將當前棧頂指針ESP (Extended Stack Pointer)指向的內容與原始輸入數據比較,從而判斷是否發(fā)生了ROP攻擊。利用動態(tài)插樁技術,本文在Win32平臺下實現了基于數據不可信的緩沖區(qū)溢出攻擊檢測方法的原型系統(tǒng)。使用該系統(tǒng)對多種緩沖區(qū)溢出攻擊進行檢測,實驗證明,本文提出的基于數據不可信的檢測方法在準確性上達到了良好的效果。同時,本文方法也將額外開銷降低到了一個合理的范圍。
[Abstract]:Since the first outbreak of Morris virus using buffer overflow vulnerability in 1988, buffer overflow attack has been one of the most serious attacks in computer security. In recent years, it has become the main attack method of Advanced Persistent threat (APT). Seven buffer overflow vulnerabilities were exploited in the APT operation against Iran's nuclear facilities. Although industry and academia put forward a variety of technologies to protect software and operating system security, but the number of attacks continues unabated. Vulnerability attack techniques have been developed from buffer overflows to recent ROP Return-Oriented-programming attacks. Vulnerability detection is a research hotspot in the field of information security, especially how to detect attacks at the binary code level is the focus of attention, but the complexity of x86 instructions brings many challenges to detection. In view of the fact that the attack code originates from the input data received by the program in buffer overflow attack, this paper proposes a detection method based on untrusted data. When the program modifies the process, if the code to be executed is a substring of input data, a buffer overflow attack occurs. In order to avoid the huge additional cost caused by frequent attack code matching, this paper proposes a preprocessing method to distinguish the apparently legitimate jump destination address from the suspicious jump destination address. Attack code matching only for suspicious jumps can effectively reduce additional overhead. For ROP attacks, because ROP chains also originate from raw data in ROP attacks, the idea that data is not trusted can also be used to detect ROP attacks. In this paper, a ROP attack detection method based on untrusted data is proposed. When a suspected ROP chain is detected, the contents of the current top stack pointer ESP extended Stack interface are compared with the original input data to determine whether a ROP attack has occurred. Using dynamic pile insertion technology, this paper implements a prototype system of buffer overflow attack detection method based on data untrusted under Win32 platform. The system is used to detect various buffer overflow attacks. Experiments show that the method proposed in this paper has good accuracy. At the same time, this method also reduces the extra cost to a reasonable range.
【學位授予單位】：東北大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 劉圣卓,謝余強,魏強;緩沖區(qū)溢出攻擊的防護措施[J];信息工程大學學報;2003年02期

2 李衛(wèi) ,唐文容 ,王岳澎;針對服務器的緩沖區(qū)溢出攻擊及防范[J];中國金融電腦;2003年10期

3 李學忠;緩沖區(qū)溢出攻擊的分析及防范措施[J];電子工藝技術;2005年05期

4 姜瑜;;緩沖區(qū)溢出攻擊技術研究[J];電腦知識與技術;2005年33期

5 肖道舉,陳博文,陳曉蘇;一種基于程序邏輯結構分析的緩沖區(qū)溢出攻擊抵御方法[J];計算機工程與科學;2005年05期

6 趙有恩;周守軍;;緩沖區(qū)溢出攻擊的分析及防范[J];計算機與信息技術;2005年06期

7 劉蕊;;計算機緩沖區(qū)溢出攻擊問題的研究[J];工程地質計算機應用;2007年04期

8 董敏;畢盛;齊德昱;胡立新;;基于狀態(tài)圖的緩沖區(qū)溢出攻擊分析[J];計算機工程;2008年23期

9 鐘達夫;唐懿芳;;一種緩沖區(qū)溢出攻擊描述語言的研究與設計[J];電腦知識與技術;2008年36期

10 朱國春;;程序緩沖區(qū)溢出攻擊的攻擊樹建模[J];科技信息(科學教研);2008年20期

相關會議論文 前3條

1 杜皎;荊繼武;李國輝;;嵌入式網絡安全設備的抗緩沖區(qū)溢出攻擊機制[A];第二十次全國計算機安全學術交流會論文集[C];2005年

2 王立民;曾凡平;李琴;梁坤;陳劍;;針對緩沖區(qū)溢出攻擊的隨機化技術[A];第二十一次全國計算機安全學術交流會論文集[C];2006年

3 盧菲;謝永強;;基于Linux的防范緩沖區(qū)溢出攻擊的策略和方法研究[A];第十八次全國計算機安全學術交流會論文集[C];2003年

相關重要報紙文章 前1條

1 ;安全的合理選擇[N];網絡世界;2006年

相關碩士學位論文 前10條

1 鐘達夫;緩沖區(qū)溢出攻擊語言研究與實現[D];廣西師范大學;2006年

2 許來光;基于數據不可信的緩沖區(qū)溢出攻擊檢測技術研究[D];東北大學;2014年

3 張秀峰;緩沖區(qū)溢出攻擊的檢測與防范系統(tǒng)[D];電子科技大學;2008年

4 鄧爽;緩沖區(qū)溢出攻擊分析及防范策略研究[D];山東大學;2009年

5 史勝利;緩沖區(qū)溢出攻擊分析及實時檢測方法研究[D];陜西師范大學;2011年

6 萬毓西;嵌入式系統(tǒng)抗緩沖區(qū)溢出攻擊的硬件防御機制研究[D];華中科技大學;2011年

7 張會潔;可信執(zhí)行環(huán)境下緩沖區(qū)溢出攻擊防范的研究[D];北京交通大學;2013年

8 韓萬軍;緩沖區(qū)溢出攻擊代碼檢測與防御技術研究[D];解放軍信息工程大學;2012年

9 秦肇偉;緩沖區(qū)溢出攻擊檢測工具的設計與實現[D];電子科技大學;2010年

10 付春雷;基于多階段網絡攻擊模型的緩沖區(qū)溢出攻擊技術研究與實踐[D];重慶大學;2006年

，

本文編號：1880252