【摘要】：二進(jìn)制程序安全一直是安全領(lǐng)域的重中之重。Shellcode是二進(jìn)制程序漏洞利用的核心代碼,是取得目標(biāo)機(jī)器控制權(quán)進(jìn)而達(dá)到攻擊者想要執(zhí)行的操作必不可少的一小段二進(jìn)制字節(jié)。因此對(duì)shellcode的檢測(cè)是二進(jìn)制程序安全防護(hù)中非常重要的一部分。Shellcode可能內(nèi)嵌于暗藏惡意的本地的文件中,也可能出現(xiàn)在注入攻擊的網(wǎng)絡(luò)流量之中。對(duì)shellcode進(jìn)行檢測(cè),是網(wǎng)絡(luò)IDS、蜜罐系統(tǒng)等必不可少的核心功能。常規(guī)的shellcode檢測(cè)技術(shù)依靠人工提取的靜態(tài)字節(jié)特征進(jìn)行檢測(cè),隨著網(wǎng)絡(luò)攻擊和防御技術(shù)地協(xié)同進(jìn)化,不斷有新的編寫(xiě)技術(shù)、變形技術(shù)、編碼技術(shù)和多態(tài)技術(shù)被用來(lái)規(guī)避針對(duì)shellcode的檢測(cè),當(dāng)今的常規(guī)檢測(cè)方案已經(jīng)漸漸不能適應(yīng)日益復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境。本文針對(duì)shellcode的檢測(cè)問(wèn)題進(jìn)行了分析研究,提出并實(shí)現(xiàn)了一種基于數(shù)據(jù)挖掘算法的shellcode檢測(cè)模型。首先,本文針對(duì)各種shellcode技術(shù)進(jìn)行了說(shuō)明,論證了基于指令序列建模的可行性。其次,分析和比對(duì)了靜態(tài)和動(dòng)態(tài)方法獲取指令序列的優(yōu)勢(shì)劣勢(shì),論證了選取靜態(tài)反匯編的可行性和必然性。再次,本文將自然語(yǔ)言處理中的詞袋模型應(yīng)用到shellcode檢測(cè)的具體場(chǎng)景,使得本系統(tǒng)不依賴(lài)于特定的特征而從數(shù)據(jù)中自動(dòng)學(xué)習(xí)特征,因此能實(shí)現(xiàn)更廣范圍的檢測(cè)和更高的準(zhǔn)確率。接著,本文在模型的基礎(chǔ)上設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)流量shellcode檢測(cè)系統(tǒng),通過(guò)一個(gè)統(tǒng)一的模型對(duì)shellcode解碼段和普通shellcode進(jìn)行雙層檢測(cè),保證了其對(duì)各種shellcode的檢測(cè)能力。最后,通過(guò)可靠來(lái)源的數(shù)據(jù)集設(shè)計(jì)實(shí)驗(yàn),驗(yàn)證了該基于數(shù)據(jù)挖掘算法shellcode檢測(cè)模型的有效性,驗(yàn)證了流量shellcode檢測(cè)系統(tǒng)的檢測(cè)效果。本文設(shè)計(jì)和實(shí)現(xiàn)的系統(tǒng)和shellcode檢測(cè)庫(kù)libemu進(jìn)行了對(duì)比實(shí)驗(yàn)。實(shí)驗(yàn)表明,本文的系統(tǒng)有更好的檢測(cè)效果和更全面的檢測(cè)范圍。其對(duì)采用多種技術(shù)的普通、變形、編碼和多態(tài)shellcode都具有較好的檢測(cè)效果和較高的檢測(cè)效率。
[Abstract]:Binary program security has always been the top priority in the field of security. Shellcode is the core code to exploit the vulnerability of binary programs, and it is a necessary bit of binary bytes to gain control of the target machine and to achieve the operations an attacker wants to perform. Therefore the detection of shellcode is a very important part of binary program security. Shellcode may be embedded in malicious local files or in the network traffic of injection attack. The detection of shellcode is the essential core function of network IDS, honeypot system. The conventional shellcode detection technology relies on the static byte features extracted by hand to detect. With the coevolution of network attack and defense technology, there are constantly new programming techniques and deformation techniques. Coding techniques and polymorphic techniques are used to avoid the detection of shellcode. Nowadays, the conventional detection schemes are gradually unable to adapt to the increasingly complex and changeable network security environment. In this paper, the detection problem of shellcode is analyzed, and a shellcode detection model based on data mining algorithm is proposed and implemented. Firstly, this paper explains various shellcode technologies and demonstrates the feasibility of modeling based on instruction sequence. Secondly, the advantages and disadvantages of obtaining instruction sequences by static and dynamic methods are analyzed and compared, and the feasibility and inevitability of selecting static disassembly are demonstrated. Thirdly, this paper applies the word bag model in natural language processing to the specific scene of shellcode detection, so that the system can automatically learn features from the data without relying on specific features, so that it can achieve a wider range of detection and higher accuracy. Then, a traffic shellcode detection system is designed and implemented on the basis of the model. A unified model is used to detect the shellcode decoding segment and the ordinary shellcode, which ensures the detection ability of the shellcode. Finally, the validity of the shellcode detection model based on the data mining algorithm is verified by the data set design experiment of reliable sources, and the detection effect of the traffic shellcode detection system is verified. The system designed and implemented in this paper is compared with shellcode detection library libemu. Experiments show that the system has better detection effect and more comprehensive detection range. It has better detection effect and higher detection efficiency for common, deformation, coding and polymorphic shellcode.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP309;TP311.13

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 陳文鋒;;基于統(tǒng)計(jì)信息的數(shù)據(jù)挖掘算法[J];統(tǒng)計(jì)與決策;2008年15期

2 王清毅,張波,蔡慶生;目前數(shù)據(jù)挖掘算法的評(píng)價(jià)[J];小型微型計(jì)算機(jī)系統(tǒng);2000年01期

3 胡浩紋,魏軍,胡濤;模糊數(shù)據(jù)挖掘算法在人力資源管理中的應(yīng)用[J];計(jì)算機(jī)與數(shù)字工程;2002年05期

4 萬(wàn)國(guó)華,陳宇曉;數(shù)據(jù)挖掘算法及其在股市技術(shù)分析中的應(yīng)用[J];計(jì)算機(jī)應(yīng)用;2004年11期

5 文俊浩,胡顯芝,何光輝,徐玲;小波在數(shù)據(jù)挖掘算法中的運(yùn)用[J];重慶大學(xué)學(xué)報(bào)(自然科學(xué)版);2004年12期

6 鄒志文,朱金偉;數(shù)據(jù)挖掘算法研究與綜述[J];計(jì)算機(jī)工程與設(shè)計(jì);2005年09期

7 趙澤茂,何坤金,胡友進(jìn);基于距離的異常數(shù)據(jù)挖掘算法及其應(yīng)用[J];計(jì)算機(jī)應(yīng)用與軟件;2005年09期

8 趙晨,諸靜;過(guò)程控制中的一種數(shù)據(jù)挖掘算法[J];武漢大學(xué)學(xué)報(bào)(工學(xué)版);2005年05期

9 王振華,柴玉梅;基于決策樹(shù)的分布式數(shù)據(jù)挖掘算法研究[J];河南科技;2005年02期

10 胡作霆;董蘭芳;王洵;;圖的數(shù)據(jù)挖掘算法研究[J];計(jì)算機(jī)工程;2006年03期

相關(guān)會(huì)議論文 前10條

1 賀煒;邢春曉;潘泉;;因果不完備條件下的數(shù)據(jù)挖掘算法[A];第二十二屆中國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集（技術(shù)報(bào)告篇）[C];2005年

2 劉玲;張興會(huì);;基于神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)挖掘算法研究[A];全國(guó)第二屆信號(hào)處理與應(yīng)用學(xué)術(shù)會(huì)議專(zhuān)刊[C];2008年

3 陳曦;曾凡鋒;;數(shù)據(jù)挖掘算法在風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[A];2007通信理論與技術(shù)新發(fā)展——第十二屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2007年

4 郭新宇;梁循;;大型數(shù)據(jù)庫(kù)中數(shù)據(jù)挖掘算法SLIQ的研究及仿真[A];2004年中國(guó)管理科學(xué)學(xué)術(shù)會(huì)議論文集[C];2004年

5 張沫;欒媛媛;秦培玉;羅丹;;基于聚類(lèi)算法的多維客戶(hù)行為細(xì)分模型研究與實(shí)現(xiàn)[A];2011年通信與信息技術(shù)新進(jìn)展——第八屆中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2011年

6 潘國(guó)林;楊帆;;數(shù)據(jù)挖掘算法在保險(xiǎn)客戶(hù)分析中的應(yīng)用[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2009）暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2009年

7 張乃岳;張力;張學(xué)燕;;基于字段匹配的CRM數(shù)據(jù)挖掘算法與應(yīng)用[A];邏輯學(xué)及其應(yīng)用研究——第四屆全國(guó)邏輯系統(tǒng)、智能科學(xué)與信息科學(xué)學(xué)術(shù)會(huì)議論文集[C];2008年

8 祖巧紅;陳定方;胡吉全;;客戶(hù)分析中的數(shù)據(jù)挖掘算法比較研究[A];12省區(qū)市機(jī)械工程學(xué)會(huì)2006年學(xué)術(shù)年會(huì)湖北省論文集[C];2006年

9 李怡凌;馬亨冰;;一種基于本體的關(guān)聯(lián)規(guī)則挖掘算法[A];全國(guó)第19屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];2008年

10 盛立;劉希玉;高明;;基于粗糙集理論的數(shù)據(jù)挖掘算法研究[A];山東省計(jì)算機(jī)學(xué)會(huì)2005年信息技術(shù)與信息化研討會(huì)論文集（二）[C];2005年

相關(guān)重要報(bào)紙文章 前1條

1 ;選擇合適的數(shù)據(jù)挖掘算法[N];計(jì)算機(jī)世界;2007年

相關(guān)博士學(xué)位論文 前4條

1 陳云開(kāi);基于粗糙集和聚類(lèi)的數(shù)據(jù)挖掘算法及其在反洗錢(qián)中的應(yīng)用研究[D];華中科技大學(xué);2007年

2 張靜;基于粗糙集理論的數(shù)據(jù)挖掘算法研究[D];西北工業(yè)大學(xué);2006年

3 沙朝鋒;基于信息論的數(shù)據(jù)挖掘算法[D];復(fù)旦大學(xué);2008年

4 梁瑾;模糊粗糙單調(diào)數(shù)據(jù)挖掘算法及在污水處理中應(yīng)用研究[D];華南理工大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 劉宇揚(yáng);基于數(shù)據(jù)挖掘算法的shellcode檢測(cè)研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2016年

2 謝亞鑫;基于Hadoop的數(shù)據(jù)挖掘算法的研究[D];華北電力大學(xué);2015年

3 彭軍;基于新型異構(gòu)計(jì)算平臺(tái)的數(shù)據(jù)挖掘算法研究與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

4 楊維;基于Hadoop的健康物聯(lián)網(wǎng)數(shù)據(jù)挖掘算法研究與實(shí)現(xiàn)[D];東北大學(xué);2013年

5 張永芳;基于Hadoop平臺(tái)的并行數(shù)據(jù)挖掘算法研究[D];安徽理工大學(xué);2016年

6 李圍成;基于FP-樹(shù)的時(shí)空數(shù)據(jù)挖掘算法研究[D];河南工業(yè)大學(xué);2016年

7 官凱;基于MapReduce的圖挖掘研究[D];貴州師范大學(xué);2016年

8 陳名輝;基于YARN和Spark框架的數(shù)據(jù)挖掘算法并行研究[D];湖南師范大學(xué);2016年

9 劉少龍;面向大數(shù)據(jù)的高效數(shù)據(jù)挖掘算法研究[D];華北電力大學(xué)(北京);2016年

10 羅俊;數(shù)據(jù)挖掘算法的并行化研究及其應(yīng)用[D];青島大學(xué);2016年

，

本文編號(hào)：2267369