缓冲区溢出攻击的分析与实时检测

分析了缓冲区溢出的原理和溢出字符串,然后对几种典型的缓冲区溢出实时检测技术进行了阐述,最后提出了一种基于系统调用的缓冲区溢出检测方法。该方法通过劫持系统调用的方式为原有的系统调用函数增加了强制访问控制功能,通过监测非法系统调用的方法来检测和阻止各种获取特权的缓冲区溢出攻击。     

通过监测系统调用防止缓冲区溢出攻击

缓冲区溢出型攻击是最为主要的计算机安全威胁之一。如何有效地消除基于缓冲区溢出漏洞的攻击,已成为大家关注的一个问题。该文分析了缓冲区溢出攻击的原理,介绍了其防护技术的研究进展,并提出了通过监测系统调用返回地址的合法性来防止缓冲区溢出攻击的方法。     

一种抗地址淹没的缓冲区栈溢出算法

缓冲区溢出是常见的网络漏洞攻击,其中最重要的是栈溢出攻击。通过分析缓冲区溢出攻击的方法和特点,提出一种基于StackShield改进的RetProtect算法,首先利用IDA Pro对源程序反汇编分析,然后建立新的库函数,并通过修改gcc源代码来实现程序执行时对函数返回地址的备份的方法来检测缓冲区溢出攻击的发生。与其它栈溢出攻击检测方法相比,RetProtect算法可有效地阻止对返回地址进行淹没的栈溢出攻击,对用户透明,系统兼容性好。     

Linux 缓冲区溢出攻击检测与防范技术

缓冲区溢出攻击已成为黑客进行系统攻击的主要手段之一，简要分析了该攻击的基本原理，提出了使用安全的C函数库和控制内核的系统调用两种检测防范策略，并通过与其它技术的比较评价了其特点。     

防止缓冲区溢区漏洞的入侵检测系统

缓冲区溢出漏洞攻击是通过非法执行系统中的系统调用来完成的，而众多对系统破坏性极强的攻击是通过恶意调用操作系统的系统调用来实现的，文中介绍了一种入侵检测系统，可以对这些系统调用建立认证功能，以此来阻止对它们的非法调用。     

防止缓冲区溢出漏洞的入侵检测系统

缓冲区溢出漏洞攻击是通过非法执行系统中的系统调用来完成的 ,而众多对系统破坏性极强的攻击也是通过恶意调用操作系统的系统调用来实现的 ,文中介绍了一种入侵检测系统 ,可以对这些系统调用建立认证功能 ,以此来阻止对它们的非法调用     

GECISM中“缓冲溢出类非我”的识别

缓冲区溢出攻击技术目前是一项广泛而基础的攻击技术,也是目前攻击技术的主要发展方向.缓冲溢出攻击常用手段就是通过改变程序的执行流程,转而去执行其植入的入侵代码,进而获得系统的root权限,对系统安全构成了巨大的威胁.该文在模仿生物免疫系统设计的计算机安全系统模型GECISM基础上构建了DAE Agent.通过RC4.5算法实对入侵训练集的系统调用序列进行规则提取,从而此代理实现了对缓冲溢出类入侵的检测.     

NT下基于非栈的缓冲区溢出攻击的实现

基于缓冲区溢出进行攻击以达到远程控制是当今最盛行的一种攻击手段。当前 ,基于缓冲区溢出的攻击主要有基于栈的和非栈的两种手段。本文重点在于解决基于非栈的缓冲区溢出攻击中的参数地址的精确定位问题。     

基于控制流数据保护的缓冲区溢出防御方法

根据栈缓冲区溢出的基本原理,介绍了三种缓冲区溢出攻击的基本模式,分析了现有的动态防御方法所存在的优缺点。以此为基础,提出了一种基于控制流相关数据保护的栈缓冲区溢出动态防御方法,引入了加密机制,有效地防御攻击者对保护数据的篡改。设计并实现了针对目标文件为对象的二进制文件重构工具,通过理论分析和实验表明该方法能够极大概率防御各种缓冲区溢出攻击。     

一种有效的Return-Oriented-Programming攻击检测方法

Returned-Oriented-Programming (ROP)攻击能突破传统防御机制如DEP和W (+) X.目前ROP攻击检测误报率较高,无法准确区分ROP攻击与正常指令执行.ROP攻击需执行系统调用完成攻击,执行系统调用前寄存器须设置为正确的值,并且每条x86指令对应一个或多个gadget.基于上述特点,提出一种有效的二进制代码级ROP攻击检测方法:截获返回指令并作为起始点计算gadget数目,并在系统调用执行前判断寄存器是否被修改为与其参数类型相同的值.该方法不依赖启发式学习,能准确检测栈溢出的ROP攻击.通过动态插桩工具实现原型系统,对ROP攻击和正常程序进行了测试,实验结果表明系统漏报率和误报率较低,且性能损失较小.     

Linux系统中基于系统调用序列的病毒检测方法研究

Linux病毒防治策略是linux安全框架的一个重要组成部分。大多数现存的依照特征进行查毒的方法通常落后于病毒的发展,已经不能满足日益迫切的安全需求。文章提出了一种基于免疫学理论的依据进程执行行为进行查毒的方法,它主要通过系统调用序列界定操作系统中的自我和非我,并以此为根据完成系统中恶意代码的发现。最后通过实验数据对该方法进行了验证。     

基于隐马尔可夫模型的内部威胁检测方法

提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好.     

基于系统调用序列学习的内核模糊测试

操作系统内核是计算机系统中最基本的软件组件, 它控制和管理计算机硬件资源, 并提供访问和管理其他应用程序所需的接口和服务. 操作系统内核的安全性直接影响整个计算机系统的稳定性和可靠性. 内核模糊测试是一种高效、准确的安全漏洞检测方法. 然而目前内核模糊测试工作中, 存在系统调用间关系的计算开销过大且容易误判, 以及系统调用序列构造方式缺乏合理能量分配以至于很难探索低频系统调用的问题. 本文提出以N-gram模型学习系统调用间关系, 根据系统调用的出现频次信息和TF-IDF信息优先探索出现频次低或者TF-IDF值高的系统调用. 我们以极低的开销, 在Linux 4.19和5.19版本的24 h实验中分别提升了15.8%、14.7%的覆盖率. 此外, 我们挖掘到了一个已知CVE (CVE-2022-3524)、8个新崩溃, 其中一个获得了CNNVD编号(CNNVD-2023-84723975).     

空时分组编码在多入多出系统中的容量分析

研究瑞利衰落信道下正交空时分组编码的信道容量,针对收端已知信道状态信息(CSI)以及收发两端均知CSI的2种情况,给出相应的容量分析及计算公式的推导。在收端已知CSI情况下,采用泰勒级数展开方法,给出一种信道容量的近似表达式,该式可有效简化原有精确公式的计算,获得与真实值非常相似的结果。在收发两端均知CSI情况下,提出一种基于最陡下降算法的简单计算方法,用于求解最优中断门限值,该方法可避免原有求解方法的大量搜索和计算。仿真结果表明,所给出的信道容量精确表达式以及近似表达式均与相应的计算机仿真结果一致,从而验证了所推公式的有效性。     

基于系统调用参数的入侵检测方法

基于系统调用序列的入侵检测系统没有考虑所有的系统调用特性,导致一些新型的攻击行为通过伪装能绕过基于系统调用序列的入侵检测系统的检测。针对上述攻击行为,提出一种基于系统调用参数的入侵检测系统模型。实验结果表明,该系统对伪装的系统调用有很高的检测率。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

一种改进的基于系统调用的入侵检测技术

随着恶意入侵计算机现象的日益严重 ,准确检测入侵的需求应运而生 .本文提出一种基于系统调用的入侵检测方法—— SGNN算法 .该算法解决了传统基于系统调用入侵检测方法的缺陷 ,不仅去除了降低检测效率的规则 ,同时能有效识别用户的误操作 .实验结果体现了该方法的有效性和检测的高效性     

航天嵌入式软件整数溢出的形式化验证方法

整数溢出引起的软件系统安全性问题屡见不鲜,已有的模型检测技术由于存在状态空间爆炸、不能有效支持中断驱动型程序检测等缺点而少有工程应用.结合真实案例,对航天嵌入式软件整数溢出问题的分布和特征进行了系统性的分析.在有界模型检测技术的基础上,结合整数溢出特征,提出了基于整数溢出变量依赖的程序模型约简技术;同时,针对中断驱动型程序,结合中断函数特征抽象,提出了基于干扰变量的中断驱动程序顺序化方法.经过基准测试程序和真实航天嵌入式软件实验,结果表明：该方法在保证整数溢出问题检出率的前提下,不仅能够提高分析效率,还使得已有的模型检测技术能够适用于中断驱动型程序整数溢出检测.