基于資源訪問控制的控制流劫持檢測與防御研究
發(fā)布時間:2023-03-04 11:12
受商業(yè)利益等因素的驅(qū)使,各類惡意軟件技術(shù)針對操作系統(tǒng)進(jìn)行了多種多樣的攻擊,導(dǎo)致其安全問題變得越來越嚴(yán)峻。其中,控制流劫持作為攻擊操作系統(tǒng)的基本手段之一而被攻擊者廣泛采用。控制流劫持是指攻擊者通過篡改具有控制屬性的數(shù)據(jù)或引導(dǎo)控制流進(jìn)行非法跳轉(zhuǎn),使控制流按照攻擊意圖流動。針對內(nèi)核控制流,攻擊者通常采用Rootkit技術(shù)篡改具有控制屬性的內(nèi)核數(shù)據(jù),以實(shí)現(xiàn)控制流重定向;針對用戶控制流,攻擊者通常使用代碼復(fù)用攻擊技術(shù)實(shí)現(xiàn)控制流的非法跳轉(zhuǎn)。攻擊者使用被劫持的控制流能夠?qū)崿F(xiàn)其攻擊目的,因此如何檢測和防御控制流劫持是確保系統(tǒng)安全的關(guān)鍵問題?刂屏鞅唤俪值母驹蛟谟诓僮飨到y(tǒng)固有的權(quán)級部署結(jié)構(gòu)和對執(zhí)行實(shí)體采用的極小干預(yù)架構(gòu)設(shè)計(jì),導(dǎo)致其缺乏對執(zhí)行實(shí)體資源訪問的有效控制。在傳統(tǒng)的操作系統(tǒng)部署結(jié)構(gòu)中,操作系統(tǒng)占據(jù)最高的特權(quán)等級ring0,使得操作系統(tǒng)中所有的執(zhí)行實(shí)體所能獲取到的最高執(zhí)行權(quán)限不高于操作系統(tǒng)本身的特權(quán)等級。同時,為提高執(zhí)行效率,現(xiàn)有的操作系統(tǒng)結(jié)構(gòu)設(shè)計(jì)僅對執(zhí)行實(shí)體的控制流做了基本的行為規(guī)范。這些因素致使已有的安全工具難以建立有效的資源訪問控制模型,進(jìn)而限制了對控制流重定向和非法跳轉(zhuǎn)的檢測和防御能力。...
【文章頁數(shù)】:118 頁
【學(xué)位級別】:博士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景
1.1.1 Rootkit概述
1.1.2 代碼復(fù)用攻擊概述
1.2 相關(guān)研究
1.2.1 內(nèi)核控制流劫持的檢測和防御方法
1.2.2 用戶控制流劫持的檢測和防御方法
1.3 研究意義
1.4 主要貢獻(xiàn)
1.5 文章結(jié)構(gòu)安排
第2章 操作系統(tǒng)與虛擬化原理
2.1 操作系統(tǒng)原理
2.1.1 進(jìn)程的組織形式
2.1.2 進(jìn)程的加載過程
2.1.3 進(jìn)程對庫函數(shù)的調(diào)用過程
2.1.4 LKM的創(chuàng)建執(zhí)行
2.1.5 函數(shù)調(diào)用過程
2.2 虛擬化原理
2.2.1 虛擬化概述
2.2.2 CPU虛擬化
2.2.3 內(nèi)存虛擬化
2.2.4 硬件輔助虛擬化
第3章 資源訪問控制模型的設(shè)計(jì)與實(shí)現(xiàn)
3.1 問題描述與分析
3.2 VirtWall總體設(shè)計(jì)
3.3 VirtWall實(shí)現(xiàn)原理
3.3.1 模式劃分
3.3.2 內(nèi)存訪問控制
3.3.3 VirtWall的自我保護(hù)與透明化部署
3.3.4 事件注入機(jī)制
3.4 本章小結(jié)
第4章 內(nèi)核控制流劫持檢測與防御模型
4.1 問題描述與分析
4.2 SecProtector總體設(shè)計(jì)
4.2.1 內(nèi)核控制流劫持檢測
4.2.2 內(nèi)核控制流劫持防御
4.3 SecProtector的部署實(shí)現(xiàn)
4.3.1 基于EPT的內(nèi)存訪問控制
4.3.2 基于硬件虛擬化的陷入捕捉機(jī)制
4.3.3 內(nèi)核控制流實(shí)時檢測策略
4.3.4 惡意內(nèi)核對象的逆向追溯
4.4 實(shí)驗(yàn)及分析
4.4.1 SecProtector對內(nèi)核控制流劫持的檢測和防御
4.4.2 SecProtector對已加載的Rootkit的逆向追溯
4.4.3 性能評估
4.5 本章小結(jié)
第5章 用戶控制流劫持檢測和防御模型
5.1 問題描述及分析
5.2 ProShadow 總體設(shè)計(jì)
5.2.1 ROP攻擊檢測與防御
5.2.2 JOP攻擊檢測與防御
5.3 ProShadow 系統(tǒng)實(shí)現(xiàn)
5.3.1 進(jìn)程監(jiān)視
5.3.2 地址定位
5.3.3 構(gòu)建并維護(hù)影子副本
5.3.4 影子副本執(zhí)行保護(hù)
5.4 實(shí)驗(yàn)及分析
5.4.1 ProShadow對ROP攻擊的檢測和防御
5.4.2 ProShadow對JOP攻擊的檢測與防御
5.4.3 ProShadow性能測試
5.5 本章小結(jié)
第6章 結(jié)論與展望
6.1 總結(jié)與結(jié)論
6.2 展望
參考文獻(xiàn)
致謝
在讀期間發(fā)表的學(xué)術(shù)論文與取得的其他研究成果
本文編號:3754186
【文章頁數(shù)】:118 頁
【學(xué)位級別】:博士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景
1.1.1 Rootkit概述
1.1.2 代碼復(fù)用攻擊概述
1.2 相關(guān)研究
1.2.1 內(nèi)核控制流劫持的檢測和防御方法
1.2.2 用戶控制流劫持的檢測和防御方法
1.3 研究意義
1.4 主要貢獻(xiàn)
1.5 文章結(jié)構(gòu)安排
第2章 操作系統(tǒng)與虛擬化原理
2.1 操作系統(tǒng)原理
2.1.1 進(jìn)程的組織形式
2.1.2 進(jìn)程的加載過程
2.1.3 進(jìn)程對庫函數(shù)的調(diào)用過程
2.1.4 LKM的創(chuàng)建執(zhí)行
2.1.5 函數(shù)調(diào)用過程
2.2 虛擬化原理
2.2.1 虛擬化概述
2.2.2 CPU虛擬化
2.2.3 內(nèi)存虛擬化
2.2.4 硬件輔助虛擬化
第3章 資源訪問控制模型的設(shè)計(jì)與實(shí)現(xiàn)
3.1 問題描述與分析
3.2 VirtWall總體設(shè)計(jì)
3.3 VirtWall實(shí)現(xiàn)原理
3.3.1 模式劃分
3.3.2 內(nèi)存訪問控制
3.3.3 VirtWall的自我保護(hù)與透明化部署
3.3.4 事件注入機(jī)制
3.4 本章小結(jié)
第4章 內(nèi)核控制流劫持檢測與防御模型
4.1 問題描述與分析
4.2 SecProtector總體設(shè)計(jì)
4.2.1 內(nèi)核控制流劫持檢測
4.2.2 內(nèi)核控制流劫持防御
4.3 SecProtector的部署實(shí)現(xiàn)
4.3.1 基于EPT的內(nèi)存訪問控制
4.3.2 基于硬件虛擬化的陷入捕捉機(jī)制
4.3.3 內(nèi)核控制流實(shí)時檢測策略
4.3.4 惡意內(nèi)核對象的逆向追溯
4.4 實(shí)驗(yàn)及分析
4.4.1 SecProtector對內(nèi)核控制流劫持的檢測和防御
4.4.2 SecProtector對已加載的Rootkit的逆向追溯
4.4.3 性能評估
4.5 本章小結(jié)
第5章 用戶控制流劫持檢測和防御模型
5.1 問題描述及分析
5.2 ProShadow 總體設(shè)計(jì)
5.2.1 ROP攻擊檢測與防御
5.2.2 JOP攻擊檢測與防御
5.3 ProShadow 系統(tǒng)實(shí)現(xiàn)
5.3.1 進(jìn)程監(jiān)視
5.3.2 地址定位
5.3.3 構(gòu)建并維護(hù)影子副本
5.3.4 影子副本執(zhí)行保護(hù)
5.4 實(shí)驗(yàn)及分析
5.4.1 ProShadow對ROP攻擊的檢測和防御
5.4.2 ProShadow對JOP攻擊的檢測與防御
5.4.3 ProShadow性能測試
5.5 本章小結(jié)
第6章 結(jié)論與展望
6.1 總結(jié)與結(jié)論
6.2 展望
參考文獻(xiàn)
致謝
在讀期間發(fā)表的學(xué)術(shù)論文與取得的其他研究成果
本文編號:3754186
本文鏈接:http://sikaile.net/kejilunwen/ruanjiangongchenglunwen/3754186.html
最近更新
教材專著
