面向網(wǎng)絡(luò)流的漏洞攻擊檢測(cè)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和普及，漏洞攻擊由于其普遍存在、影響廣泛以及后果嚴(yán)重等特性已成為網(wǎng)絡(luò)安全的主要問(wèn)題之一。目前，相關(guān)安全研究人員已提出很多針對(duì)漏洞攻擊的防御策略和檢測(cè)機(jī)制，但網(wǎng)絡(luò)安全形勢(shì)仍然嚴(yán)峻，研究如何有效地檢測(cè)網(wǎng)絡(luò)流中的漏洞攻擊依然是信息安全領(lǐng)域的核心問(wèn)題之一。
　　漏洞攻擊檢測(cè)可以從程序外部和內(nèi)部來(lái)進(jìn)行。從程序內(nèi)部檢測(cè)是指當(dāng)攻擊發(fā)生時(shí)監(jiān)控程序的運(yùn)行狀態(tài)，檢查程序控制流等敏感數(shù)據(jù)是否被篡改，從而判斷程序是否遭受漏洞攻擊;而從

2、程序外部檢測(cè)是指依據(jù)攻擊代碼(shellcode)本身的特征檢測(cè)漏洞攻擊，可以及時(shí)地發(fā)現(xiàn)輸入流中的攻擊代碼并阻止攻擊。Shellcode在某種特定硬件平臺(tái)上的特征相對(duì)固定，不會(huì)隨著攻擊方式的改變而輕易改變，因此對(duì)shellcode進(jìn)行檢測(cè)是一種比較有效的漏洞攻擊防御手段。
　　目前，shellcode檢測(cè)方法大體上分為靜態(tài)和動(dòng)態(tài)兩類(lèi)方法，其中靜態(tài)方法具有檢測(cè)速度上的優(yōu)勢(shì)，而動(dòng)態(tài)方法具有檢測(cè)準(zhǔn)確性上的優(yōu)勢(shì)。然而很多現(xiàn)有檢測(cè)機(jī)制是純粹

3、的靜態(tài)或者動(dòng)態(tài)方法，犧牲了檢測(cè)的效率或準(zhǔn)確性，沒(méi)有把兩者的優(yōu)勢(shì)融合起來(lái);此外，多態(tài)、變形和ROP等新興技術(shù)的運(yùn)用給shellcode的檢測(cè)帶來(lái)了新的挑戰(zhàn)。單純的靜態(tài)或者動(dòng)態(tài)方法已經(jīng)無(wú)法滿足對(duì)于目前漏洞攻擊的檢測(cè)需求。
　　本文從攻擊者的角度切入研究，首先介紹了漏洞攻擊的基礎(chǔ)知識(shí)，分析對(duì)比了常用攻擊手段的技術(shù)特點(diǎn);然后通過(guò)對(duì)攻擊載體——shellcode的實(shí)現(xiàn)原理及其檢測(cè)技術(shù)進(jìn)行深入研究，提出三類(lèi)新的啟發(fā)式規(guī)則;最后將靜態(tài)分析和動(dòng)態(tài)

4、執(zhí)行方法相結(jié)合，提出一種shellcode混合檢測(cè)方法。綜上所述，本文立足于從程序外部檢測(cè)漏洞攻擊，對(duì)shellcode實(shí)現(xiàn)原理及其檢測(cè)技術(shù)進(jìn)行深入研究，取得了兩方面的成果:
　　1.提出了三類(lèi)新的啟發(fā)式規(guī)則。針對(duì)現(xiàn)有檢測(cè)方法對(duì)分段式shellcode的檢測(cè)支持不足的問(wèn)題提出了LEH、FDR、TIAT等三類(lèi)新的啟發(fā)式規(guī)則，有效地增強(qiáng)了現(xiàn)有方法對(duì)于分段式shellcode的檢測(cè)效果。
　　2.提出一種shellcode混合檢測(cè)