基于動態(tài)分析的漏洞自動化驗證技術(shù)研究.pdf

1、近年來互聯(lián)網(wǎng)惡意攻擊事件頻發(fā),各大安全平臺捕獲的攻擊樣本數(shù)量不斷增多，樣本分析成為了互聯(lián)網(wǎng)安全研究領(lǐng)域的重點。樣本分析中的一個核心環(huán)節(jié)就是漏洞驗證。漏洞驗證即驗證樣本是否利用了軟件漏洞進行攻擊，具體的驗證內(nèi)容包括漏洞類型和攻擊手段。傳統(tǒng)的漏洞驗證通常采用人工分析的方式，然而人工分析存在效率低下和成本較高的問題，因此研究一種漏洞自動化驗證的新方法來緩解這些問題就顯得很有意義。針對此需求，本文從動態(tài)分析技術(shù)出發(fā)，提出了對大量樣本進行漏洞自動

2、化驗證的新方法，并設(shè)計和實現(xiàn)了驗證系統(tǒng)原型。漏洞自動化驗證方法分為環(huán)境搭建和驗證規(guī)則設(shè)計兩個方面，對此，本文進行了如下研究：
　　1.本文研究了環(huán)境搭建所面臨兩個主要問題。一是單一樣本進行漏洞驗證，所需的環(huán)境有什么特征；二是在樣本類型復(fù)雜的情況下，如何構(gòu)建方案來滿足所需環(huán)境復(fù)雜的需求。本文歸納出單一樣本所需環(huán)境的特征，并對其做出形式化描述。在此基礎(chǔ)上，提出了漏洞自動化驗證的環(huán)境搭建方案。該方案采取將樣本分發(fā)至環(huán)境集群的方法，提高環(huán)

3、境匹配的成功率。進一步，針對環(huán)境集群搭建成本高的問題，本文提出了軟件環(huán)境集合劃分算法，在不降低漏洞驗證的準(zhǔn)確率前提下，減少了環(huán)境搭建的成本。
　　2.本文研究了緩沖區(qū)溢出漏洞和ROP攻擊的自動化驗證規(guī)則。通過分析緩沖區(qū)溢出漏洞觸發(fā)時函數(shù)返回地址特征，提出了基于函數(shù)返回地址匹配的規(guī)則來驗證樣本是否觸發(fā)了緩沖區(qū)溢出漏洞。通過構(gòu)造大量的ROP攻擊鏈，分析鏈中Gad-get的長度特征，以及Gadget中Ret指令之前兩條指令的行為特征，構(gòu)