共查询到19条相似文献,搜索用时 125 毫秒
1.
缓冲区溢出攻击的分析与实时检测 总被引:4,自引:0,他引:4
分析了缓冲区溢出的原理和溢出字符串,然后对几种典型的缓冲区溢出实时检测技术进行了阐述,最后提出了一种基于系统调用的缓冲区溢出检测方法。该方法通过劫持系统调用的方式为原有的系统调用函数增加了强制访问控制功能,通过监测非法系统调用的方法来检测和阻止各种获取特权的缓冲区溢出攻击。 相似文献
2.
通过监测系统调用防止缓冲区溢出攻击 总被引:1,自引:1,他引:0
缓冲区溢出型攻击是最为主要的计算机安全威胁之一。如何有效地消除基于缓冲区溢出漏洞的攻击,已成为大家关注的一个问题。该文分析了缓冲区溢出攻击的原理,介绍了其防护技术的研究进展,并提出了通过监测系统调用返回地址的合法性来防止缓冲区溢出攻击的方法。 相似文献
3.
4.
5.
缓冲区溢出漏洞攻击是通过非法执行系统中的系统调用来完成的,而众多对系统破坏性极强的攻击是通过恶意调用操作系统的系统调用来实现的,文中介绍了一种入侵检测系统,可以对这些系统调用建立认证功能,以此来阻止对它们的非法调用。 相似文献
6.
缓冲区溢出漏洞攻击是通过非法执行系统中的系统调用来完成的 ,而众多对系统破坏性极强的攻击也是通过恶意调用操作系统的系统调用来实现的 ,文中介绍了一种入侵检测系统 ,可以对这些系统调用建立认证功能 ,以此来阻止对它们的非法调用 相似文献
7.
8.
基于缓冲区溢出进行攻击以达到远程控制是当今最盛行的一种攻击手段。当前 ,基于缓冲区溢出的攻击主要有基于栈的和非栈的两种手段。本文重点在于解决基于非栈的缓冲区溢出攻击中的参数地址的精确定位问题。 相似文献
9.
根据栈缓冲区溢出的基本原理,介绍了三种缓冲区溢出攻击的基本模式,分析了现有的动态防御方法所存在的优缺点。以此为基础,提出了一种基于控制流相关数据保护的栈缓冲区溢出动态防御方法,引入了加密机制,有效地防御攻击者对保护数据的篡改。设计并实现了针对目标文件为对象的二进制文件重构工具,通过理论分析和实验表明该方法能够极大概率防御各种缓冲区溢出攻击。 相似文献
10.
Returned-Oriented-Programming (ROP)攻击能突破传统防御机制如DEP和W (+) X.目前ROP攻击检测误报率较高,无法准确区分ROP攻击与正常指令执行.ROP攻击需执行系统调用完成攻击,执行系统调用前寄存器须设置为正确的值,并且每条x86指令对应一个或多个gadget.基于上述特点,提出一种有效的二进制代码级ROP攻击检测方法:截获返回指令并作为起始点计算gadget数目,并在系统调用执行前判断寄存器是否被修改为与其参数类型相同的值.该方法不依赖启发式学习,能准确检测栈溢出的ROP攻击.通过动态插桩工具实现原型系统,对ROP攻击和正常程序进行了测试,实验结果表明系统漏报率和误报率较低,且性能损失较小. 相似文献
11.
Linux系统中基于系统调用序列的病毒检测方法研究 总被引:4,自引:0,他引:4
Linux病毒防治策略是linux安全框架的一个重要组成部分。大多数现存的依照特征进行查毒的方法通常落后于病毒的发展,已经不能满足日益迫切的安全需求。文章提出了一种基于免疫学理论的依据进程执行行为进行查毒的方法,它主要通过系统调用序列界定操作系统中的自我和非我,并以此为根据完成系统中恶意代码的发现。最后通过实验数据对该方法进行了验证。 相似文献
12.
提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好. 相似文献
13.
操作系统内核是计算机系统中最基本的软件组件, 它控制和管理计算机硬件资源, 并提供访问和管理其他应用程序所需的接口和服务. 操作系统内核的安全性直接影响整个计算机系统的稳定性和可靠性. 内核模糊测试是一种高效、准确的安全漏洞检测方法. 然而目前内核模糊测试工作中, 存在系统调用间关系的计算开销过大且容易误判, 以及系统调用序列构造方式缺乏合理能量分配以至于很难探索低频系统调用的问题. 本文提出以N-gram模型学习系统调用间关系, 根据系统调用的出现频次信息和TF-IDF信息优先探索出现频次低或者TF-IDF值高的系统调用. 我们以极低的开销, 在Linux 4.19和5.19版本的24 h实验中分别提升了15.8%、14.7%的覆盖率. 此外, 我们挖掘到了一个已知CVE (CVE-2022-3524)、8个新崩溃, 其中一个获得了CNNVD编号(CNNVD-2023-84723975). 相似文献
14.
研究瑞利衰落信道下正交空时分组编码的信道容量,针对收端已知信道状态信息(CSI)以及收发两端均知CSI的2种情况,给出相应的容量分析及计算公式的推导。在收端已知CSI情况下,采用泰勒级数展开方法,给出一种信道容量的近似表达式,该式可有效简化原有精确公式的计算,获得与真实值非常相似的结果。在收发两端均知CSI情况下,提出一种基于最陡下降算法的简单计算方法,用于求解最优中断门限值,该方法可避免原有求解方法的大量搜索和计算。仿真结果表明,所给出的信道容量精确表达式以及近似表达式均与相应的计算机仿真结果一致,从而验证了所推公式的有效性。 相似文献
15.
16.
17.
基于HSC的进程隐藏检测技术 总被引:3,自引:3,他引:3
介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用(HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。 相似文献
18.
一种改进的基于系统调用的入侵检测技术 总被引:4,自引:1,他引:4
随着恶意入侵计算机现象的日益严重 ,准确检测入侵的需求应运而生 .本文提出一种基于系统调用的入侵检测方法—— SGNN算法 .该算法解决了传统基于系统调用入侵检测方法的缺陷 ,不仅去除了降低检测效率的规则 ,同时能有效识别用户的误操作 .实验结果体现了该方法的有效性和检测的高效性 相似文献
19.
整数溢出引起的软件系统安全性问题屡见不鲜,已有的模型检测技术由于存在状态空间爆炸、不能有效支持中断驱动型程序检测等缺点而少有工程应用.结合真实案例,对航天嵌入式软件整数溢出问题的分布和特征进行了系统性的分析.在有界模型检测技术的基础上,结合整数溢出特征,提出了基于整数溢出变量依赖的程序模型约简技术;同时,针对中断驱动型程序,结合中断函数特征抽象,提出了基于干扰变量的中断驱动程序顺序化方法.经过基准测试程序和真实航天嵌入式软件实验,结果表明:该方法在保证整数溢出问题检出率的前提下,不仅能够提高分析效率,还使得已有的模型检测技术能够适用于中断驱动型程序整数溢出检测. 相似文献