动静结合的攻击代码检测方法

缓冲区溢出攻击是近年来最主要的安全问题之一,攻击者利用缓冲区溢出漏洞执行远程代码,从而达到攻击的目的。Shelleode作为攻击的载体,是缓冲区攻击检测的主要对象。随着检测技术的发展,攻击者更倾向于使用多态技术对Shellcode进行加密来绕过IDS的检测。针对MS Windows操作系统下的Shellcode,提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义,既使用动态模拟技术提高了对使用多态技术的Shellcode的检侧率,也兼顾了检测的效率。基于该方法,设计和实现了一套原型系统,并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明,该系统在检测Shellcode的准确率和性能方面都达到了令人满意的效果。     

一种缓冲区溢出攻击通用模型研究

随着Internet的普及,信息安全问题日趋显著,近年来发生的一系列安全事件让每个连接到Internet的用户感到不安,特别是远程缓冲区溢出攻击更是防不胜防.缓冲区溢出攻击是一种常见的攻击方式,对缓冲区溢出漏洞进行恶意利用,会产生极具破坏性的蠕虫.本文对各种缓冲区溢出漏洞和利用技术进行了深入研究,建立了缓冲区溢出攻击通用模型OSJUMP(Overflow Shellcode Jump),并利用该模型,提出了在模型的各个阶段阻截缓冲区溢出攻击的防范措施.     

基于堆栈的Windows Shellcode编写方法研究

为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究.从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤.在实验的基础上,总结了Shellcode的编写方法及提取技术,最后给出了验证Shellcode有效性的方法.     

防范利用远程溢出植入后门的设计与实现

缓冲区溢出是目前病毒主要利用的漏洞之一,首先分析了远程溢出攻击的基本原理,在此基础上给出了具体的远程溢出的设计与实现方法。阐述了Shellcode从高级语言到机器语言的构造过程,介绍了漏洞扫描的具体实现方法,最后给出了远程溢出的防范建议。     

基于状态图的缓冲区溢出攻击分析

结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对缓冲区溢出攻击的检测,在此基础上构建一个基于状态图的缓冲区溢出攻击的分析模型。该模型对于进一步明确缓冲区溢出攻击过程和完善缓冲区溢出攻击的检测和防御有很大的理论和实际意义。     

缓冲区溢出攻击技术研究

缓冲区溢出攻击是各种网络攻击方法中较普遍且危害较严重的一种。文章分析了缓冲区溢出攻击的原理,从程序编写和程序检测等多个角度提出了防范缓冲区溢出攻击的方法。     

缓冲区溢出攻击的分析与防范

缓冲区溢出攻击成为黑客攻击技术中最广泛、最危险的一种攻击手段.文章给出了缓冲区溢出的原理,结合具体实例分析了缓冲区溢出攻击的方法,从程序编写、堆栈搬移、返回地址检测以及端口关闭等多个角度对防止缓冲区溢出攻击进行了分析.     

缓冲区溢出攻击技术研究

缓冲区溢出攻击是各种网络攻击方法中较普遍且危害较严重的一种.文章分析了缓冲区溢出攻击的原理,从程序编写和程序检测等多个角度提出了防范缓冲区溢出攻击的方法.     

基于进程执行轮廓的缓冲区溢出攻击效果检测

缓冲区溢出攻击效果检测对缓冲区溢出安全防御工作具有重要意义,该文分析进程与Windows NativeAPI的关系,以Windows NativeAPI为数据源进行攻击效果检测。提出执行轮廓的概念及其建立方法,在分析缓冲区溢出攻击效果的基础上,提出基于进程执行轮廓的缓冲区溢出攻击效果检测方法,实验结果表明该方法的有效性。     

缓冲区溢出攻击检测技术的分析和研究

缓冲区溢出攻击是目前最具威胁的攻击方式之一，对信息安全造成了极大的危害。该文通过分析缓冲区溢出攻击的原理，归纳出攻击所必需的3个步骤，根据检测这3个攻击步骤，将当前最常用的缓冲区溢出攻击检测技术分为3种类型，并对其进行了分析和研究。     

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3 GB实际网络数据和 11 000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。     

WindowsNT缓冲溢出攻击原理分析

介绍了缓冲溢出的基本概念和WindowsNT架构的基本内存分布情况，阐述了控制程序流程的方法，并详细描述了Shellcode的编写技巧．深入浅出的分析了WindowsNT下缓冲溢出攻击的原理，     

Windows NT缓冲溢出攻击原理分析

介绍了缓冲溢出的基本概念和WindowsNT架构的基本内存分布情况,阐述了控制程序流程的方法,并详细描述了Shellcode的编写技巧,深入浅出的分析了WindowsNT下缓冲溢出攻击的原理。     

基于行为语义分析的Web恶意代码检测机制研究

在Web安全问题的研究中,如何提高Web恶意代码的检测效率一直是Web恶意代码检测方法研究中需要解决的问题。为此,针对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode方面的检测,提出一种基于行为语义分析的Web恶意代码检测机制。通过对上述漏洞的行为和语义进行分析,提取行为特征,构建Web客户端脚本解析引擎和Web Shellcode检测引擎,实现对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode等的正确检测,以及对Web Shellcode攻击行为进行取证的功能。实验分析结果表明,新的Web恶意代码检测机制具有检测能力强、漏检率低的性能。     

面向网络入侵检测的GAN-SDAE-RF模型研究

针对传统机器学习方法在处理不平衡的海量高维数据时罕见攻击类检测率低的问题,提出了一种基于深度学习的随机森林算法的入侵检测模型,为了避免传统的随机森林面对高维数据和不平衡数据时分类精度低、稳定性差和对罕见攻击类检测率低的问题,引入生成式对抗网络（GAN）和栈式降噪自编码器（SDAE）对随机森林算法（RF）进行改进。将罕见攻击类数据集输入GAN神经网络中,生成新的攻击类样本,改善网络入侵数据在样本集中不均衡分布的情况,通过堆叠深层的SDAE逐层抽取网络数据的分布规则,并结合各个编码层的系数惩罚和重构误差,来确定高维数据中与入侵行为相关的特征,基于降维后的特征数据构建森林决策树。采用UNSW-NB15数据集的实验结果表明,与SVM、KNN、CNN、LSTM、DBN方法相比,GAN-SDAE-RF整体检测准确率平均提高了9.39%、误报率和漏报率平均降低了9%和15.24%以及在少数类Analysis、Shellcode、Backdoor、Worms上检测率分别提高了26.8%、27.98%、27.85%、39.97%。     

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

通用代码Shell化技术研究

代码Shell化技术是一种实现程序从源码形态到二进制形态的程序变换技术。该技术可用于实现Shellcode生成,生成包括漏洞利用过程中的Shellcode及后渗透测试过程中的功能性Shellcode。文中形式化地描述了程序中代码与数据的关系,提出了一种基于LLVM(Low Level Virtual Machine)的通用程序变换方法,该方法可用于实现操作系统无关的代码Shell化。该技术通过构建代码内置全局数据表和添加动态重定位代码,将代码对数据的绝对内存地址访问转化为对代码内部全局数据表的相对地址访问,重构了代码与数据之间的引用关系,解决了代码执行过程中对操作系统重定位机制依赖的问题,使得生成的Shellcode代码具有位置无关特性。在验证实验中,使用适用于不同操作系统的不同规模的工程源码对基于该技术实现的Shellcode生成系统进行了功能测试,并对比了Shell化前后代码功能的一致性、文件大小、函数数量和运行时间,实验结果表明基于该技术的Shellcode生成系统功能正常,具有较好的兼容性和通用性。     

基于人工免疫理论的Shellcode检测方法

Shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程,生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。