基于程序執(zhí)行流構(gòu)建入侵模型的研究.pdf

1、對(duì)網(wǎng)絡(luò)入侵過(guò)程的自動(dòng)重構(gòu)無(wú)論對(duì)可信軟件在不可靠/不安全環(huán)境中的演化、保護(hù)還是對(duì)惡意環(huán)境的分析與檢測(cè)都具有重要用途。由于入侵過(guò)程日趨復(fù)雜，自動(dòng)重構(gòu)與其入侵機(jī)制相一致的動(dòng)態(tài)攻擊模型對(duì)實(shí)現(xiàn)可信軟件的保護(hù)和安全演化尤為重要。
　　 目前被廣泛應(yīng)用的網(wǎng)絡(luò)入侵模型中大部分屬靜態(tài)模型，它們都有這樣的特點(diǎn)：主要針對(duì)入侵特例，例如典型的特征(signature)匹配模型，對(duì)變體入侵需要重新建模，適應(yīng)性差。所表達(dá)的入侵特征上下文無(wú)關(guān)，例如絕大多數(shù)消

2、息特征僅針對(duì)單一消息(如一個(gè)完整的IP分組)，難以準(zhǔn)確表達(dá)出那些分步驟實(shí)施入侵的復(fù)雜的動(dòng)態(tài)入侵過(guò)程。事實(shí)上，目前應(yīng)用的大多數(shù)入侵模型等價(jià)于正規(guī)表達(dá)式，由此不難看出其能力上的局限。絕大多數(shù)模型的建模依據(jù)是入侵消息流本身，很少同時(shí)考慮受害程序(在被入侵期間的)行為，使這類(lèi)模型所表達(dá)的入侵特征局限于所觀測(cè)到的會(huì)話實(shí)例，難以用來(lái)識(shí)別相近的入侵行為，這些相近的入侵行為可能有很不相同的消息特征但卻有完全相同的攻擊目的。絕大部分實(shí)用的入侵模型仍需分析

3、人員手工建立，因此需要實(shí)質(zhì)性地發(fā)展準(zhǔn)確而有效的自動(dòng)建模技術(shù)，特別是在入侵手段快速擴(kuò)散的情況下尤其必要。
　　 本文建立一種重構(gòu)網(wǎng)絡(luò)入侵模型的有效方法，依據(jù)入侵實(shí)例中所記錄的入侵過(guò)程的消息流及受害軟件實(shí)際執(zhí)行的指令流，通過(guò)反編譯并應(yīng)用改進(jìn)的形式分析及驗(yàn)證技術(shù)構(gòu)建出充分一般的入侵模型。與目前絕大多數(shù)基于獨(dú)立消息特征(signature)的入侵模型不同，該模型能精確給出惡意消息上下文之間的關(guān)聯(lián)模式，表達(dá)出入侵過(guò)程的動(dòng)態(tài)特征，效率可行并