面向網(wǎng)絡(luò)流的漏洞攻擊檢測研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和普及，漏洞攻擊由于其普遍存在、影響廣泛以及后果嚴(yán)重等特性已成為網(wǎng)絡(luò)安全的主要問題之一。目前，相關(guān)安全研究人員已提出很多針對漏洞攻擊的防御策略和檢測機(jī)制，但網(wǎng)絡(luò)安全形勢仍然嚴(yán)峻，研究如何有效地檢測網(wǎng)絡(luò)流中的漏洞攻擊依然是信息安全領(lǐng)域的核心問題之一。
　　漏洞攻擊檢測可以從程序外部和內(nèi)部來進(jìn)行。從程序內(nèi)部檢測是指當(dāng)攻擊發(fā)生時監(jiān)控程序的運(yùn)行狀態(tài)，檢查程序控制流等敏感數(shù)據(jù)是否被篡改，從而判斷程序是否遭受漏洞攻擊;而從

2、程序外部檢測是指依據(jù)攻擊代碼(shellcode)本身的特征檢測漏洞攻擊，可以及時地發(fā)現(xiàn)輸入流中的攻擊代碼并阻止攻擊。Shellcode在某種特定硬件平臺上的特征相對固定，不會隨著攻擊方式的改變而輕易改變，因此對shellcode進(jìn)行檢測是一種比較有效的漏洞攻擊防御手段。
　　目前，shellcode檢測方法大體上分為靜態(tài)和動態(tài)兩類方法，其中靜態(tài)方法具有檢測速度上的優(yōu)勢，而動態(tài)方法具有檢測準(zhǔn)確性上的優(yōu)勢。然而很多現(xiàn)有檢測機(jī)制是純粹

3、的靜態(tài)或者動態(tài)方法，犧牲了檢測的效率或準(zhǔn)確性，沒有把兩者的優(yōu)勢融合起來;此外，多態(tài)、變形和ROP等新興技術(shù)的運(yùn)用給shellcode的檢測帶來了新的挑戰(zhàn)。單純的靜態(tài)或者動態(tài)方法已經(jīng)無法滿足對于目前漏洞攻擊的檢測需求。
　　本文從攻擊者的角度切入研究，首先介紹了漏洞攻擊的基礎(chǔ)知識，分析對比了常用攻擊手段的技術(shù)特點(diǎn);然后通過對攻擊載體——shellcode的實(shí)現(xiàn)原理及其檢測技術(shù)進(jìn)行深入研究，提出三類新的啟發(fā)式規(guī)則;最后將靜態(tài)分析和動態(tài)

4、執(zhí)行方法相結(jié)合，提出一種shellcode混合檢測方法。綜上所述，本文立足于從程序外部檢測漏洞攻擊，對shellcode實(shí)現(xiàn)原理及其檢測技術(shù)進(jìn)行深入研究，取得了兩方面的成果:
　　1.提出了三類新的啟發(fā)式規(guī)則。針對現(xiàn)有檢測方法對分段式shellcode的檢測支持不足的問題提出了LEH、FDR、TIAT等三類新的啟發(fā)式規(guī)則，有效地增強(qiáng)了現(xiàn)有方法對于分段式shellcode的檢測效果。
　　2.提出一種shellcode混合檢測