| 一种基于双模式虚拟机的多态Shellcode检测方法 |
| |
| 引用本文: | 罗 杨, 夏春和, 李亚卓, 魏 昭, 梁晓艳. 一种基于双模式虚拟机的多态Shellcode检测方法[J]. 计算机研究与发展, 2014, 51(8): 1704-1714. DOI: 10.7544/issn1000-1239.2014.20121149 |
| |
| 作者姓名: | 罗杨 夏春和 李亚卓 魏昭 梁晓艳 |
| |
| 作者单位: | (北京航空航天大学网络技术北京市重点实验室 北京 100191) (veotax@sae.buaa.edu.cn) |
| |
| 基金项目: | 国家自然科学基金项目,国防基础科研计划项目,北京市教育委员会共建项目建设计划项目,中航工业产学研项目 |
| |
| 摘 要: | 近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.
|
| 关 键 词: | 多态Shellcode GetPC定位 指令识别 虚拟机 控制流模式 数据流模式 Define-Use链 |
| 本文献已被 CNKI 等数据库收录! |
| 点击此处可从《计算机研究与发展》浏览原始摘要信息 |
|
点击此处可从《计算机研究与发展》下载免费的PDF全文 |
|
