基于攻擊代碼檢測的緩沖區(qū)溢出防御技術(shù)研究.pdf

1、緩沖區(qū)溢出攻擊是當(dāng)前互聯(lián)網(wǎng)中存在的主要安全威脅之一，通過利用遠(yuǎn)程主機(jī)服務(wù)程序存在的緩沖區(qū)溢出漏洞，攻擊者能夠?qū)㈩A(yù)先準(zhǔn)備好的攻擊代碼注入目標(biāo)主機(jī)系統(tǒng)，改變程序執(zhí)行流程使攻擊代碼得以執(zhí)行，從而實(shí)施破壞行為。由于成功注入攻擊代碼是實(shí)施攻擊的第一步，也是最關(guān)鍵的一步，因此研究緩沖區(qū)溢出攻擊代碼的檢測是非常有意義的。
　　 本文介紹了緩沖區(qū)溢出攻擊的基本原理及關(guān)鍵技術(shù)，總結(jié)了現(xiàn)有的緩沖區(qū)溢出防御方法的不足。介紹了一種基于動(dòng)態(tài)模擬的多態(tài)sh

2、ellcode檢測方法作為基本方案，分析了該方案的可行性、基本原理及存在的缺陷。為提高基本方案的準(zhǔn)確性和速度，本文提出一個(gè)基于攻擊代碼執(zhí)行行為的改進(jìn)檢測方案。作為檢測算法的基礎(chǔ)，本文通過深入研究多態(tài)shelleode的行為特征，提出一個(gè)多態(tài)shellcode行為模型，該模型能夠更準(zhǔn)確地區(qū)別多態(tài)shellcode與隨機(jī)數(shù)據(jù)的執(zhí)行行為?；诙鄳B(tài)shellcode行為模型，設(shè)計(jì)了相應(yīng)的檢測算法，并提出采用數(shù)據(jù)流預(yù)處理和模擬循環(huán)優(yōu)化的方法降低檢

3、測系統(tǒng)的時(shí)間開銷，對于優(yōu)化技術(shù)和檢測方案的具體實(shí)現(xiàn)等關(guān)鍵技術(shù)給出了詳細(xì)描述。
　　 整個(gè)改進(jìn)方案的實(shí)現(xiàn)基于Linux系統(tǒng)以及x86模擬應(yīng)用編程接口庫Libemu，使用C語言開發(fā)。最后，使用MSF(MetaSploit Framework)提供的6種多態(tài)引擎生成的多態(tài)shellcode樣本對改進(jìn)方案的漏報(bào)率進(jìn)行測試，通過真實(shí)的網(wǎng)絡(luò)流量對改進(jìn)方案的誤報(bào)率和系統(tǒng)性能進(jìn)行分析，并通過與基本方案進(jìn)行對比，證明了改進(jìn)方案具有較好的性能與可靠