本文關鍵詞：S-Tracker:基于棧異常的shellcode檢測方法

  更多相關文章： 軟件安全 shellcode檢測 棧幀遍歷 棧異常 ROP攻擊

【摘要】：根據(jù)shellcode的API函數(shù)及系統(tǒng)調(diào)用對棧幀的影響,定義了EBP異常、Ret異常和長度異常,并在此基礎上提出了基于棧異常的shellcode檢測方法——S-Tracker.該方法遍歷特定敏感API函數(shù)的棧幀鏈、檢測異常、定位漏洞函數(shù)和Shellcode代碼,并采用棧幀重構(gòu)解決了棧幀中的EBP缺失或破壞的問題.實驗結(jié)果表明:S-Tracker能有效檢測到基于普通shellcode、混合型shellcode以及純ROP shellcode的攻擊行為,具備追蹤shellcode分布區(qū)域和EIP跳轉(zhuǎn)函數(shù)的功能,且其性能開銷較小、沒有誤報;與微軟EMET工具相比,STracker在內(nèi)核層實現(xiàn),更加難以被攻擊者繞過.
【作者單位】： 武漢大學計算機學院;武漢大學空天信息安全與可信計算教育部重點實驗室;中國證券登記結(jié)算有限責任公司;
【關鍵詞】： 軟件安全 shellcode檢測 棧幀遍歷 棧異常 ROP攻擊
【基金】：國家重點基礎研究發(fā)展計劃資助項目(2014CB340600) 國家自然科學基金資助項目(61332019,61373168,61202387,61202385) 中國博士后科學基金資助項目(2012M510641) 武漢市青年科技晨光計劃資助項目(2012710367)
【分類號】：TP393.08
【正文快照】： 系統(tǒng)的開放性、交互性和軟件自身缺陷導致計算機系統(tǒng)長期遭受漏洞利用的攻擊,通過shellcode檢測可及時發(fā)現(xiàn)和阻止攻擊者實施攻擊.從shellcode的代碼和結(jié)構(gòu)的特征,可以提煉出用于檢測shellcode的啟發(fā)式知識或者簽名,以此來檢測程序外部輸入或網(wǎng)絡流中已知的shell-code[1-3],但，

本文編號：672990