基于攻擊代碼檢測的緩沖區(qū)溢出防御技術研究.pdf

1、緩沖區(qū)溢出攻擊是當前互聯(lián)網(wǎng)中存在的主要安全威脅之一，通過利用遠程主機服務程序存在的緩沖區(qū)溢出漏洞，攻擊者能夠?qū)㈩A先準備好的攻擊代碼注入目標主機系統(tǒng)，改變程序執(zhí)行流程使攻擊代碼得以執(zhí)行，從而實施破壞行為。由于成功注入攻擊代碼是實施攻擊的第一步，也是最關鍵的一步，因此研究緩沖區(qū)溢出攻擊代碼的檢測是非常有意義的。
　　 本文介紹了緩沖區(qū)溢出攻擊的基本原理及關鍵技術，總結(jié)了現(xiàn)有的緩沖區(qū)溢出防御方法的不足。介紹了一種基于動態(tài)模擬的多態(tài)sh

2、ellcode檢測方法作為基本方案，分析了該方案的可行性、基本原理及存在的缺陷。為提高基本方案的準確性和速度，本文提出一個基于攻擊代碼執(zhí)行行為的改進檢測方案。作為檢測算法的基礎，本文通過深入研究多態(tài)shelleode的行為特征，提出一個多態(tài)shellcode行為模型，該模型能夠更準確地區(qū)別多態(tài)shellcode與隨機數(shù)據(jù)的執(zhí)行行為。基于多態(tài)shellcode行為模型，設計了相應的檢測算法，并提出采用數(shù)據(jù)流預處理和模擬循環(huán)優(yōu)化的方法降低檢

3、測系統(tǒng)的時間開銷，對于優(yōu)化技術和檢測方案的具體實現(xiàn)等關鍵技術給出了詳細描述。
　　 整個改進方案的實現(xiàn)基于Linux系統(tǒng)以及x86模擬應用編程接口庫Libemu，使用C語言開發(fā)。最后，使用MSF(MetaSploit Framework)提供的6種多態(tài)引擎生成的多態(tài)shellcode樣本對改進方案的漏報率進行測試，通過真實的網(wǎng)絡流量對改進方案的誤報率和系統(tǒng)性能進行分析，并通過與基本方案進行對比，證明了改進方案具有較好的性能與可靠