动静结合的攻击代码检测方法

缓冲区溢出攻击是近年来最主要的安全问题之一,攻击者利用缓冲区溢出漏洞执行远程代码,从而达到攻击的目的。Shelleode作为攻击的载体,是缓冲区攻击检测的主要对象。随着检测技术的发展,攻击者更倾向于使用多态技术对Shellcode进行加密来绕过IDS的检测。针对MS Windows操作系统下的Shellcode,提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义,既使用动态模拟技术提高了对使用多态技术的Shellcode的检侧率,也兼顾了检测的效率。基于该方法,设计和实现了一套原型系统,并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明,该系统在检测Shellcode的准确率和性能方面都达到了令人满意的效果。     

缓冲区溢出原理及植入代码的分析研究*

分析缓冲区溢出及其溢出植入代码的组成结构,指出相应的防御措施;通过分析溢出和植入代码的组成结构,给出缓冲区溢出的一般规律和溢出攻击植入代码的结构特征;最后讨论如何根据溢出规律和植入代码的结构特征,采取有效措施来防御缓冲区溢出攻击。     

基于状态图的缓冲区溢出攻击分析

结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对缓冲区溢出攻击的检测,在此基础上构建一个基于状态图的缓冲区溢出攻击的分析模型。该模型对于进一步明确缓冲区溢出攻击过程和完善缓冲区溢出攻击的检测和防御有很大的理论和实际意义。     

基于动态二进制平台的缓冲区溢出过程分析

提出一种基于动态二进制平台的缓冲区溢出过程分析方法,并实现基于该方法的原型系统。分析缓冲区溢出攻击方法的特点,给出基于异常捕获、控制流分析和内存状态检查的溢出检测方法。通过对内存读写指令、控制转移指令进行监控,获得函数调用序列和数据传递关系,定位导致缓冲区溢出的代码。实验结果表明,该系统能有效检测缓冲区溢出,准确定位导致溢出的代码位置。     

一种基于双模式虚拟机的多态Shellcode检测方法

近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.     

缓冲区溢出攻击的自动化检测方法

基于动态二进制平台DynamoRIO,研究了面向二进制代码的缓冲区溢出攻击样本的自动化检测方法.该方法利用动态二进制平台的插桩技术,针对不同的溢出覆盖类型,通过异常捕获、控制流分析和内存状态检查实现了对缓冲区溢出的自动化检测.实验结果表明,该方法能够自动化地、准确地检测出样本中存在的缓冲区溢出攻击,在缓冲区溢出攻击的自动化检测方面具有较好的应用价值.     

一种缓冲区溢出攻击描述语言的研究与设计

分析目前缓冲区溢出攻击的弱点,提出一种新的攻击方法。通过抽象缓冲区溢出攻击的规律,分析植入代码的结构特征,给出缓冲区溢出攻击描述语言的文法。对于不同的缓冲区溢出漏洞,攻击描述语言能够动态地构造植入代码,实现攻击的自动化。     

防御缓冲区溢出攻击的数据随机化方法

代码注入式攻击方法已经成为针对内存攻击的典型代表,缓冲区溢出攻击是其中最常用的一种代码注入攻击方法。它依靠修改程序的控制流指向,使程序转向预先注入的恶意代码区,以取得系统权限。提出了一种基于数据保护的随机化方法,即通过保护程序内的指针和数组来有效地防御缓冲区溢出攻击的方法。     

缓冲区溢出攻击代码的分析研究

缓冲区溢出漏洞是当前互联网中存在的最主要的威胁之一。该文先讨论了缓冲区溢出漏洞的产生原理和一般的攻击手段,然后分析了利用缓冲区溢出漏洞的攻击代码,给出了攻击代码的主要特征。最后,讨论了如何利用这些特征,来防范缓冲区溢出攻击的发生。     

基于shellcode检测的缓冲区溢出攻击防御技术研究

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发，提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后，从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手，检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析，指出其中较为优秀的方法，并就更全面提高系统安全性提出了一些建议。     

移动Agent的安全性研究

随着计算机网络技术的发展，软件设计中移动代理（MA）的技术获得了极大的应用，移动代理的设计不仅需要考虑其执行效率，还必须考虑其安全性，文章对保护运行环境免受恶意Agent或其它实体的攻击，以及保护Agent免受运行环境与其它实体的攻击进行了阐述。     

计算作业网格执行环境的分析、设计与应用*

针对网格环境下科学计算遗产程序执行涉及到的关键问题进行了分析和设计,提出了一个基于固有计算执行环境+网格运行支持扩展的计算作业网格执行环境,以支持在网格环境下调用执行科学程序,并将其应用到了科学计算遗产程序包装成的网格服务运行中。计算作业网格执行环境很好地满足了传统科学计算遗产程序在网格环境下共享后的运行管理的需要,具有广泛的适用性和参考价值。     

面向进程多变体软件系统的攻击面定性建模分析

攻击面是衡量软件系统安全性的一个重要指标,采用攻击面描述可以通过集合的方式描述软件系统的安全性并对其进行度量。一般的攻击面模型基于I/O自动机模型对软件系统进行建模,其一般采用非冗余的架构,难以应用于类似多变体系统这类异构冗余的系统架构。Manadhatad等提出了一种在非相似余度系统中进行攻击面度量的方式,但其采用的系统架构表决粒度和表决方式与多变体系统不同,无法准确度量多变体系统的攻击面。因此,在传统攻击面模型基础上,结合多变体系统异构冗余架构的特点,对传统攻击面模型进行扩展,并构建多变体系统的攻击面模型;使用形式化方式表示多变体系统的攻击面,根据多变体系统在系统出口点处的表决机制对传统攻击面模型进行改进,以使其能解释多变体系统攻击面缩小的现象,通过该建模方式,能够说明采用多变体架构的多变体系统在运行过程中攻击面的变化。采用了两组多变体执行架构的软件系统进行实例分析,分别通过与未采用多变体架构的功能相同的软件系统在未受攻击和遭受攻击两种情境下进行攻击面的对比分析,体现多变体系统在攻击面上的变化。结合攻击面理论与多变体执行系统的特点提出了一种面向多变体执行系统的攻击面建模方法,目前可以定性分析多变体执行系统攻击面的变化,未来将在定量分析多变体执行系统攻击面的方向继续进行深入研究。     

基于进程执行轮廓的缓冲区溢出攻击效果检测

缓冲区溢出攻击效果检测对缓冲区溢出安全防御工作具有重要意义,该文分析进程与Windows NativeAPI的关系,以Windows NativeAPI为数据源进行攻击效果检测。提出执行轮廓的概念及其建立方法,在分析缓冲区溢出攻击效果的基础上,提出基于进程执行轮廓的缓冲区溢出攻击效果检测方法,实验结果表明该方法的有效性。     

微架构瞬态执行攻击与防御方法

现代处理器的优化技术,包括乱序执行和推测机制等,对性能至关重要.近期以Meltdown和Spectre为代表的侧信道攻击表明,由于异常延迟处理和推测错误而执行的指令结果虽然在架构级别上未显示,仍可能在处理器微架构状态中留下痕迹.通过隐蔽信道可将微架构状态的变化传输到架构层,进而恢复出秘密数据,这种攻击方式称为瞬态执行攻击.该攻击有别于传统的缓存侧信道攻击,影响面更广,缓解难度更大.本文深入分析了瞬态执行攻击的机理和实现方式,对目前的研究现状与防御方法进行了总结.首先,介绍了处理器微架构采用的优化技术,并分析了其导致瞬态执行攻击的功能特征;然后,基于触发瞬态执行的原语对瞬态执行攻击进行系统化分析,揭示攻击面上的明显差异.最后,有侧重点地针对攻击模型中的关键步骤和关键组件总结了已有防御方法,并展望了未来研究方向.     

实时多任务执行模型到VxWorks的代码映射

基于对实时多任务软件的抽象执行体的研究分析以及对VxWorks平台的分析,提出了实时多任务执行模型到VxWorks平台下C语言程序框架的系统调用的映射规则及代码。给出了实时对象之间的通信原理及映射方法。给出了实时时间管理的映射代码。     

一种精确程序最坏执行时间分析方法

Java语言的动态特性使程序的最坏执行时间分析较悲观和难以预测,提出一种精确最坏执行时间分析方法,在高层分析中,引入一种标记方法,对带有标记的Java类文件进行反编译提取控制流程,得到每一个基本块中的Java 字节码指令的最坏情况下的执行次数,在底层分析中,建立结合流水线和高级缓存影响的时间模型,得到每条指令所对应的执行时间,最后结合高层分析和底层分析的结果得到程序的最坏情况下的执行时间。实验表明,该方法可以使对实时Java 程序的最坏情况执行时间预测更加安全和精确。     

主动网络管理代理的执行环境

随着网络的迅速发展，网络管理变得越来越复杂，主动网络以其动态特性为网络管理带来了新的挑战和新的契机，根据主动网络的特性设计了一个主动网络管理代理的执行环境（ANMAEE），该环境支持主动网络管理代理的URL部署和字节码部署，并提供两级安全结构，代码的合法性验证和基于角色的安全加载，管理接口共享动态库机制提供了动态被管对象和管理代理间交互，为管理主动节点上其它执行环境及主动网络服务提供了一种有效的手段。利用主动网络管理代理执行环境可以实现主动网络管理代理的动态部署，改善网络管理的可扩展性，该主动网络管理代理执行环境（ANMAEE）已经在Linux平台上实现。     

多变体执行安全防御技术研究综述

软件和信息系统的高速发展在给人们生活带来诸多便利的同时,也让更多的安全风险来到了我们身边,不法分子可以很方便的利用无处不在的网络和越来越自动化、低门槛的攻击技术去获得非法利益。面对这种现状,传统被动式的安全防御已显得力不从心,更高的防御需求,促进了安全领域不断研究新的主动防御技术。这其中,基于攻击面随机化扰动的移动目标防御技术和基于异构冗余思想的多变体执行架构技术受到了广泛的关注,被认为是有可能改变网络空间游戏规则的安全技术,有望改变攻防双方不平衡的地位。本文对近年来多变体执行架构技术在安全防御方面的研究工作进行归纳总结,梳理了该方向的关键技术及评价体系。在此基础上,分析了多变体执行架构在安全防御方面的有效性,最后指出多变体执行架构技术当前面临的挑战与未来的研究方向。