【摘要】：近年來互聯(lián)網(wǎng)惡意攻擊事件頻發(fā),各大安全平臺捕獲的攻擊樣本數(shù)量不斷增多,樣本分析成為了互聯(lián)網(wǎng)安全研究領(lǐng)域的重點。樣本分析中的一個核心環(huán)節(jié)就是漏洞驗證。漏洞驗證即驗證樣本是否利用了軟件漏洞進(jìn)行攻擊,具體的驗證內(nèi)容包括漏洞類型和攻擊手段。傳統(tǒng)的漏洞驗證通常采用人工分析的方式,然而人工分析存在效率低下和成本較高的問題,因此研究一種漏洞自動化驗證的新方法來緩解這些問題就顯得很有意義。針對此需求,本文從動態(tài)分析技術(shù)出發(fā),提出了對大量樣本進(jìn)行漏洞自動化驗證的新方法,并設(shè)計和實現(xiàn)了驗證系統(tǒng)原型。漏洞自動化驗證方法分為環(huán)境搭建和驗證規(guī)則設(shè)計兩個方面,對此,本文進(jìn)行了如下研究:1.本文研究了環(huán)境搭建所面臨兩個主要問題。一是單一樣本進(jìn)行漏洞驗證,所需的環(huán)境有什么特征;二是在樣本類型復(fù)雜的情況下,如何構(gòu)建方案來滿足所需環(huán)境復(fù)雜的需求。本文歸納出單一樣本所需環(huán)境的特征,并對其做出形式化描述。在此基礎(chǔ)上,提出了漏洞自動化驗證的環(huán)境搭建方案。該方案采取將樣本分發(fā)至環(huán)境集群的方法,提高環(huán)境匹配的成功率。進(jìn)一步,針對環(huán)境集群搭建成本高的問題,本文提出了軟件環(huán)境集合劃分算法,在不降低漏洞驗證的準(zhǔn)確率前提下,減少了環(huán)境搭建的成本。2.本文研究了緩沖區(qū)溢出漏洞和ROP攻擊的自動化驗證規(guī)則。通過分析緩沖區(qū)溢出漏洞觸發(fā)時函數(shù)返回地址特征,提出了基于函數(shù)返回地址匹配的規(guī)則來驗證樣本是否觸發(fā)了緩沖區(qū)溢出漏洞。通過構(gòu)造大量的ROP攻擊鏈,分析鏈中Gadget的長度特征,以及Gadget中Ret指令之前兩條指令的行為特征,構(gòu)建出了基于統(tǒng)計規(guī)則和行為規(guī)則的ROP攻擊混合檢測方案。3.針對不同平臺下動態(tài)分析技術(shù)的優(yōu)劣,選擇基于調(diào)試器和動態(tài)插樁的技術(shù),搭建環(huán)境集群,實現(xiàn)了漏洞自動化驗證原型系統(tǒng)。采用實際的攻擊樣本對系統(tǒng)進(jìn)行了功能和性能測試,測試結(jié)果表明,本驗證系統(tǒng)誤報率更低性能更好。
[Abstract]:In recent years, malicious attacks on the Internet occur frequently, and the number of attack samples captured by major security platforms is increasing. Sample analysis has become the focus of Internet security research. A key link in sample analysis is vulnerability verification. Vulnerability verification is to verify whether the sample exploits the software vulnerability to attack. The specific verification content includes vulnerability type and attack means. Traditional vulnerability verification usually adopts manual analysis, but manual analysis has the problems of low efficiency and high cost, so it is very meaningful to study a new method of vulnerability automatic verification to alleviate these problems. In order to meet this requirement, this paper presents a new method for automated verification of large numbers of samples based on dynamic analysis technology, and designs and implements the prototype of the verification system. Vulnerability automatic verification method can be divided into two aspects: environment building and verification rule design. In this paper, the following research is carried out: 1. In this paper, two main problems of environmental construction are studied. One is to verify the vulnerability of a single sample, the other is how to construct a scheme to meet the complex requirements of the required environment when the sample type is complex. In this paper, the characteristics of a single environment are summarized and formalized. On this basis, the environment construction scheme of vulnerability automatic verification is put forward. The scheme adopts the method of distributing samples to the environment cluster to improve the success rate of environment matching. Furthermore, in order to solve the problem of high cost of environment cluster building, this paper proposes a software environment set partition algorithm, which reduces the cost of environment building without reducing the accuracy of vulnerability verification. This paper studies the automatic verification rules for buffer overflow vulnerabilities and ROP attacks. By analyzing the feature of function return address when buffer overflow vulnerability is triggered, a rule based on function return address matching is proposed to verify whether the sample triggered the buffer overflow vulnerability. By constructing a large number of ROP attack chains and analyzing the length characteristics of Gadget in the chain and the behavior characteristics of the two instructions before the Ret instruction in Gadget, a hybrid detection scheme for ROP attacks based on statistical rules and behavioral rules is proposed. 3. According to the merits and demerits of dynamic analysis technology under different platforms, the technology based on debugger and dynamic pile insertion is selected to set up the environment cluster and realize the prototype system of automatic verification of vulnerability. The actual attack samples are used to test the system's function and performance. The test results show that the system has lower false alarm rate and better performance.
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李萬平;;粒子動態(tài)分析儀的數(shù)據(jù)開發(fā)[J];實驗技術(shù)與管理;1992年04期

2 齊仕群;;動態(tài)分析—評述[J];強度與環(huán)境;1977年02期

3 李迎化;周彤;安長華;;長春地區(qū)部分博物館觀眾動態(tài)分析[J];中國博物館;1990年01期

4 劉於勛,吳振慶;微機在企業(yè)管理中的應(yīng)用——二、設(shè)備維修的動態(tài)分析[J];微電子學(xué)與計算機;1986年11期

5 雷若松;英錄;;圖書館系統(tǒng)功能優(yōu)化的動態(tài)分析[J];圖書館學(xué)刊;1988年04期

6 劉紹清;郭志偉;;基于動態(tài)分析的中小企業(yè)信息化應(yīng)用探討[J];福建電腦;2008年12期

7 蔣素清;;立式銑銷加工中心結(jié)構(gòu)靜動態(tài)分析[J];長沙大學(xué)學(xué)報;2008年02期

8 梁洲虹;;做好崗位動態(tài)分析和調(diào)整 護航電信運營企業(yè)健康發(fā)展[J];世界電信;2010年05期

9 邢艷麗;;計算機技術(shù)在油藏精細(xì)動態(tài)分析中的應(yīng)用分析[J];硅谷;2014年04期

10 馬潤津;夏皓如;黎實;;動態(tài)分析儀YJD—1在電氣傳動方面的應(yīng)用[J];電氣傳動;1985年04期

相關(guān)會議論文 前10條

1 王軍旗;何永良;;中國市場化改革的動態(tài)分析[A];陜西省經(jīng)濟學(xué)學(xué)會慶祝中國共產(chǎn)黨建黨80周年暨第21次年會論文集[C];2001年

2 牟麗麗;于雪峰;安瑞強;劉正茂;;三江平原地下水資源動態(tài)分析[A];變化環(huán)境下的水資源響應(yīng)與可持續(xù)利用——中國水利學(xué)會水資源專業(yè)委員會2009學(xué)術(shù)年會論文集[C];2009年

3 金愛山;;89319例惡性腫瘤各病種動態(tài)分析[A];中國醫(yī)院協(xié)會病案管理專業(yè)委員會第二十二屆學(xué)術(shù)會議論文集[C];2013年

4 凌光生;;淺談閉合電路的動態(tài)分析的教學(xué)研究[A];國家教師科研專項基金科研成果集[C];2014年

5 俞建衛(wèi);李奇亮;尤濤;;三維摩擦溫度場動態(tài)分析系統(tǒng)研究[A];第八屆全國摩擦學(xué)大會論文集[C];2007年

6 莫宏偉;任志遠(yuǎn);;陜西省1998-2008年NDVI多時空尺度動態(tài)分析[A];中國地理學(xué)會百年慶典學(xué)術(shù)論文摘要集[C];2009年

7 沈慶芳;李世平;;陜西省耕地減少去向及動態(tài)分析[A];中國土地學(xué)會625論壇-第十九個全國“土地日”：保障科學(xué)發(fā)展，，保護耕地紅線論文集[C];2009年

8 楊培奎;;廣東9份本科學(xué)院學(xué)報學(xué)術(shù)影響力動態(tài)分析[A];第十二屆2014全國核心期刊與期刊國際化、網(wǎng)絡(luò)化研討會論文集[C];2014年

9 錢韋吉;陳光雄;;摩擦尖叫噪聲的有限元瞬時動態(tài)分析[A];第十一屆全國摩擦學(xué)大會論文集[C];2013年

10 李肖堅;夏冰;鐘達(dá)夫;李瑞豐;;一種緩沖區(qū)溢出防御虛擬機的研究與設(shè)計[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

相關(guān)重要報紙文章 前10條

1 黃泛區(qū)農(nóng)場天鷹社區(qū) 奈紅;淺談社區(qū)工作中的社區(qū)居民“思想動態(tài)分析”[N];周口日報;2010年

2 通訊員 李志云;潞城市信用聯(lián)社建立動態(tài)分析制度[N];科學(xué)導(dǎo)報;2005年

3 特約記者 陳旭　柏佳春 王志高;我省建立動態(tài)分析聯(lián)席會議制度[N];江蘇法制報;2010年

4 韋海云;“三級動態(tài)分析”夯實穩(wěn)產(chǎn)基礎(chǔ)[N];中國石化報;2007年

5 通訊員 孫玉傳 記者 李兵;華北采二岔中工區(qū) 大力強化員工培訓(xùn)[N];中國石油報;2003年

6 ;全面優(yōu)化體系 升級商務(wù)執(zhí)法能力[N];國際商報;2014年

7 中國國際期貨白糖事業(yè)部 郭良舟;紐約11號原糖持倉動態(tài)分析[N];期貨日報;2006年

8 王孝義　李穎;“心靈檔案”喚回員工激情[N];工人日報;2010年

9 記者 田俊榮;央行負(fù)責(zé)人表示應(yīng)動態(tài)分析看待匯改對企業(yè)的影響[N];人民日報;2010年

10 張少波;應(yīng)對緩沖區(qū)溢出漏洞攻擊[N];計算機世界;2003年

相關(guān)博士學(xué)位論文 前1條

1 夏一民;緩沖區(qū)溢出漏洞的靜態(tài)檢測方法研究[D];國防科學(xué)技術(shù)大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 劉路遙;基于動態(tài)分析的漏洞自動化驗證技術(shù)研究[D];電子科技大學(xué);2017年

2 黃龍;“學(xué)科信息動態(tài)分析”在學(xué)科建設(shè)中的應(yīng)用研究[D];南昌大學(xué);2015年

3 司志亮;科技發(fā)展動態(tài)分析系統(tǒng)的研究與設(shè)計[D];上海交通大學(xué);2014年

4 王婧姝;多式聯(lián)運中心運作對交通網(wǎng)絡(luò)的動態(tài)影響研究[D];大連理工大學(xué);2015年

5 夏陽麗;1960-2010年廣西紅樹林景觀空間結(jié)構(gòu)動態(tài)分析[D];廣西大學(xué);2014年

6 趙艷芝;青海省3-6歲幼兒人群身體素質(zhì)動態(tài)分析[D];青海師范大學(xué);2016年

7 李軍輝;電力動態(tài)分析系統(tǒng)軟件及其關(guān)鍵技術(shù)的研究與實現(xiàn)[D];電子科技大學(xué);2016年

8 王湃;油水井動態(tài)分析知識推理引擎研究與發(fā)現(xiàn)[D];東北石油大學(xué);2016年

9 謝心慶;烏魯木齊市PM_(2.5)濃度的動態(tài)分析[D];新疆財經(jīng)大學(xué);2016年

10 王擎宇;水平對置與直列四缸發(fā)動機曲軸的模態(tài)與動態(tài)分析[D];華北電力大學(xué);2016年

本文編號：2347038