基于數(shù)據(jù)不可信的緩沖區(qū)溢出攻擊檢測技術(shù)研究.pdf

1、自1988年首個(gè)利用緩沖區(qū)溢出漏洞進(jìn)行傳播的病毒Morris爆發(fā)以來，緩沖區(qū)溢出攻擊就一直是計(jì)算機(jī)安全中最嚴(yán)重的攻擊行為之一。近些年，它又成為了高級持續(xù)性威脅APT(Advanced Persistent Threat)的主要攻擊手段。在針對伊朗核設(shè)施的APT行動(dòng)中，就利用了7個(gè)緩沖區(qū)溢出漏洞。雖然工業(yè)界和學(xué)術(shù)界提出各種技術(shù)保護(hù)軟件及操作系統(tǒng)安全，但攻擊數(shù)量仍有增無減。而漏洞攻擊技術(shù)也不斷發(fā)展，從緩沖區(qū)溢出到最近的ROP（Return-

2、Oriented-Programming）攻擊。漏洞攻擊檢測是信息安全領(lǐng)域的研究熱點(diǎn)，特別是如何在二進(jìn)制代碼級檢測攻擊更是業(yè)界關(guān)注的焦點(diǎn)，但x86指令的復(fù)雜性給檢測帶來諸多挑戰(zhàn)。
　　本文針對緩沖區(qū)溢出攻擊時(shí)，攻擊代碼來源于程序接收的輸入數(shù)據(jù)這一特點(diǎn)，提出了一種基于數(shù)據(jù)不可信的檢測方法。當(dāng)程序修改流程時(shí)，如果將要執(zhí)行的代碼是輸入數(shù)據(jù)的子串，就表明發(fā)生了緩沖區(qū)溢出攻擊。為了避免頻繁進(jìn)行攻擊代碼匹配所帶來的巨大額外開銷，本文提出了一個(gè)

3、預(yù)處理方法，將顯然合法的跳轉(zhuǎn)目的地址與可疑的跳轉(zhuǎn)目的地址區(qū)分出來，只對可疑的跳轉(zhuǎn)進(jìn)行攻擊代碼匹配，這種方式可以有效地降低額外開銷。
　　對于ROP攻擊，由于在ROP攻擊時(shí)ROP鏈也是源于原始數(shù)據(jù)，因此數(shù)據(jù)不可信的思想同樣可以用于檢測ROP攻擊。本文提出了一個(gè)基于數(shù)據(jù)不可信的ROP攻擊檢測方法，檢測到疑似ROP鏈時(shí)，將當(dāng)前棧頂指針ESP(Extended Stack Pointer)指向的內(nèi)容與原始輸入數(shù)據(jù)比較，從而判斷是否發(fā)生了R