本文關(guān)鍵詞：面向網(wǎng)絡(luò)流的漏洞攻擊檢測研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和普及,漏洞攻擊由于其普遍存在、影響廣泛以及后果嚴(yán)重等特性已成為網(wǎng)絡(luò)安全的主要問題之一。目前,相關(guān)安全研究人員已提出很多針對漏洞攻擊的防御策略和檢測機(jī)制,但網(wǎng)絡(luò)安全形勢仍然嚴(yán)峻,研究如何有效地檢測網(wǎng)絡(luò)流中的漏洞攻擊依然是信息安全領(lǐng)域的核心問題之一。漏洞攻擊檢測可以從程序外部和內(nèi)部來進(jìn)行。從程序內(nèi)部檢測是指當(dāng)攻擊發(fā)生時(shí)監(jiān)控程序的運(yùn)行狀態(tài),檢查程序控制流等敏感數(shù)據(jù)是否被篡改,從而判斷程序是否遭受漏洞攻擊；而從程序外部檢測是指依據(jù)攻擊代碼(shellcode)本身的特征檢測漏洞攻擊,可以及時(shí)地發(fā)現(xiàn)輸入流中的攻擊代碼并阻止攻擊。Shellcode在某種特定硬件平臺(tái)上的特征相對固定,不會(huì)隨著攻擊方式的改變而輕易改變,因此對shellcode進(jìn)行檢測是一種比較有效的漏洞攻擊防御手段。目前,shellcode檢測方法大體上分為靜態(tài)和動(dòng)態(tài)兩類方法,其中靜態(tài)方法具有檢測速度上的優(yōu)勢,而動(dòng)態(tài)方法具有檢測準(zhǔn)確性上的優(yōu)勢。然而很多現(xiàn)有檢測機(jī)制是純粹的靜態(tài)或者動(dòng)態(tài)方法,犧牲了檢測的效率或準(zhǔn)確性,沒有把兩者的優(yōu)勢融合起來；此外,多態(tài)、變形和ROP等新興技術(shù)的運(yùn)用給shellcode的檢測帶來了新的挑戰(zhàn)。單純的靜態(tài)或者動(dòng)態(tài)方法已經(jīng)無法滿足對于目前漏洞攻擊的檢測需求。本文從攻擊者的角度切入研究,首先介紹了漏洞攻擊的基礎(chǔ)知識(shí),分析對比了常用攻擊手段的技術(shù)特點(diǎn)；然后通過對攻擊載體——shellcode的實(shí)現(xiàn)原理及其檢測技術(shù)進(jìn)行深入研究,提出三類新的啟發(fā)式規(guī)則；最后將靜態(tài)分析和動(dòng)態(tài)執(zhí)行方法相結(jié)合,提出一種shellcode混合檢測方法。綜上所述,本文立足于從程序外部檢測漏洞攻擊,對shellcode實(shí)現(xiàn)原理及其檢測技術(shù)進(jìn)行深入研究,取得了兩方面的成果：1.提出了三類新的啟發(fā)式規(guī)則。針對現(xiàn)有檢測方法對分段式shellcode的檢測支持不足的問題提出了LEH、FDR、TIAT等三類新的啟發(fā)式規(guī)則,有效地增強(qiáng)了現(xiàn)有方法對于分段式shellcode的檢測效果。2.提出一種shellcode混合檢測方法。不同于單純的靜態(tài)或動(dòng)態(tài)方法,新方法將兩者相結(jié)合,既保留了動(dòng)態(tài)方法的準(zhǔn)確性優(yōu)勢,又綜合了靜態(tài)方法在檢測效率上的優(yōu)勢,找到了一種平衡準(zhǔn)確性和效率的有效途徑。實(shí)驗(yàn)結(jié)果表明,提出的新啟發(fā)式規(guī)則能有效地識(shí)別出對應(yīng)的分段式shellcode,同時(shí)新方法擁有良好的檢測效率。
【關(guān)鍵詞】：shellcode 新啟發(fā)式規(guī)則 漏洞攻擊 混合檢測
【學(xué)位授予單位】：廣西大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 緒論11-16
• 1.1 研究背景及意義11-12
• 1.2 研究現(xiàn)狀12-14
• 1.3 本文研究工作14-15
• 1.4 論文組織結(jié)構(gòu)15-16
• 第二章 漏洞攻擊基礎(chǔ)知識(shí)16-25
• 2.1 漏洞攻擊概述16-17
• 2.2 常見漏洞攻擊17-21
• 2.2.1 棧溢出17-19
• 2.2.2 堆溢出19-20
• 2.2.3 格式化串溢出20-21
• 2.2.4 Return-into-libc攻擊21
• 2.3 漏洞攻擊防御21-22
• 2.3.1 漏洞預(yù)防21-22
• 2.3.2 攻擊檢測22
• 2.4 已采用的防御策略22-24
• 2.4.1 DEP22-23
• 2.4.2 ASLR23-24
• 2.5 本章小節(jié)24-25
• 第三章 SHELLCODE特征分析與規(guī)則提取25-39
• 3.1 SHELLCODE概述25-27
• 3.2 攻擊實(shí)現(xiàn)方式27-30
• 3.2.1 靜態(tài)地址定位27-28
• 3.2.2 跳板指令定位28
• 3.2.3 另一種定位方式28-30
• 3.3 特征分析30-34
• 3.3.1 偽裝技巧30-33
• 3.3.2 內(nèi)存布局33-34
• 3.4 新啟發(fā)式規(guī)則34-38
• 3.4.1 LEH35-36
• 3.4.2 FDR36-37
• 3.4.3 TIAT37-38
• 3.5 本章小節(jié)38-39
• 第四章 一種SHELLCODE混合檢測方法39-46
• 4.1 背景知識(shí)39-40
• 4.1.1 檢測概述39
• 4.1.2 相關(guān)研究39-40
• 4.2 現(xiàn)有方法對比40-41
• 4.3 一種混合檢測方法41-44
• 4.3.1 檢測概述41
• 4.3.2 框架設(shè)計(jì)41-43
• 4.3.3 方法實(shí)現(xiàn)43-44
• 4.4 檢測優(yōu)化44-45
• 4.4.1 重疊式流分割策略45
• 4.4.2 匯編指令緩存策略45
• 4.4.3 模擬執(zhí)行優(yōu)化策略45
• 4.5 本章小結(jié)45-46
• 第五章 實(shí)驗(yàn)結(jié)果與分析46-50
• 5.1 新規(guī)則有效性驗(yàn)證46-49
• 5.1.1 實(shí)驗(yàn)方法和步驟46-47
• 5.1.2 檢測覆蓋率47-48
• 5.1.3 檢測準(zhǔn)確性48-49
• 5.2 混合檢測的時(shí)間復(fù)雜度49
• 5.3 本章小節(jié)49-50
• 第六章 總結(jié)和展望50-52
• 6.1 本文總結(jié)50-51
• 6.2 下一步工作51-52
• 參考文獻(xiàn)52-57
• 致謝57-58
• 攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文58

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前8條

1 羅楊;夏春和;李亞卓;魏昭;梁曉艷;;一種基于雙模式虛擬機(jī)的多態(tài)Shellcode檢測方法[J];計(jì)算機(jī)研究與發(fā)展;2014年08期

2 董鵬程;康緋;舒輝;;一種shellcode動(dòng)態(tài)檢測與分析技術(shù)[J];小型微型計(jì)算機(jī)系統(tǒng);2013年07期

3 韓浩;茅兵;謝立;;針對ROP攻擊的動(dòng)態(tài)運(yùn)行時(shí)檢測系統(tǒng)[J];計(jì)算機(jī)工程;2012年04期

4 趙帥;丁保貞;沈備軍;林九川;;動(dòng)靜結(jié)合的攻擊代碼檢測方法[J];計(jì)算機(jī)科學(xué);2011年12期

5 彭賀峰;何豐;;針對非控制數(shù)據(jù)的緩沖區(qū)溢出保護(hù)程序[J];計(jì)算機(jī)技術(shù)與發(fā)展;2011年12期

6 張登銀;洪福鑫;;典型Shellcode引擎特征檢測方法研究[J];計(jì)算機(jī)技術(shù)與發(fā)展;2010年01期

7 王蘭佳;段海新;李星;;基于動(dòng)態(tài)模擬的多態(tài)Shellcode檢測系統(tǒng)[J];計(jì)算機(jī)工程;2008年13期

8 徐啟杰;薛質(zhì);;緩沖區(qū)溢出攻擊檢測技術(shù)的分析和研究[J];計(jì)算機(jī)工程;2007年16期

  本文關(guān)鍵詞：面向網(wǎng)絡(luò)流的漏洞攻擊檢測研究，由筆耕文化傳播整理發(fā)布。

，

本文編號(hào)：287693