shellcode攻击与防范技术

针对Windows系统环境下,攻击者通过shellcode代码威胁系统安全的问题,研究shellcode攻击与防范方法。分析shellcode代码的工作原理、攻击过程及多种变化,介绍新型Windows系统采用的GS和ASLR保护对shellcode攻击的防范机制,并通过实验验证其防范效果。结果证明,实施shellcode攻击需要一定的条件,而GS和ALSR可破坏这些攻击条件的形成,有效阻止攻击。     

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。     

软件网络通信过程逆向分析及可视化技术研究

针对软件逆向分析中遇到的软件网络通信过程复杂,分析耗时的问题,提出了软件网络通信过程逆向分析及可视化方法.利用动态二进制平台DynamoRIO记录软件网络通信过程中执行的API函数信息,对记录结果进行函数关联性分析,结合图形化工具软件aiSee,将软件网络通信过程以图形化形式展现.实验结果表明,该方法能够在不影响程序的情况下通过程序的一次运行即正确解析并可视化其网络通信过程.     

缓冲区溢出攻击的自动化检测方法

基于动态二进制平台DynamoRIO,研究了面向二进制代码的缓冲区溢出攻击样本的自动化检测方法.该方法利用动态二进制平台的插桩技术,针对不同的溢出覆盖类型,通过异常捕获、控制流分析和内存状态检查实现了对缓冲区溢出的自动化检测.实验结果表明,该方法能够自动化地、准确地检测出样本中存在的缓冲区溢出攻击,在缓冲区溢出攻击的自动化检测方面具有较好的应用价值.     

基于shellcode检测的缓冲区溢出攻击防御技术研究

缓冲区溢出攻击对计算机和网络安全构成极大威胁。从缓冲区溢出攻击原理和shellcode实现方式出发，提出针对shellcode的溢出攻击防御技术。描述shellcode获取控制权前后，从代码特点、跳转方式及shellcode恶意功能实现过程等方面入手，检测并阻止shellcode以对抗溢出攻击的几种技术。最后对这些技术的优缺点进行比较分析，指出其中较为优秀的方法，并就更全面提高系统安全性提出了一些建议。     

基于动态二进制分析的密码算法识别

针对网络安全领域中应用程序内部密码算法识别问题,提出一种基于动态二进制分析的密码算法识别方法。该方法以二进制分析平台DynamoRIO作为支撑,动态记录程序执行期间的数据信息,并综合利用基于统计特征的过滤和分类、基于密码算法常数特征的匹配以及基于数据流分析的函数参数识别等技术,对密码算法进行识别。测试结果表明,该方法能够迅速识别并准确定位应用程序中所使用的密码算法。     

一种混合式内存泄漏静态检测方法

内存泄漏是导致系统性能降低的重要问题.提出一种基于模型检测算法的内存泄漏静态检查方法TMC.该方法依据程序的控制流图构建对应于程序执行的有限状态自动机,进而在此基础上应用模型检测算法分析程序中可能存在的内存泄漏.论文利用几个典型的程序实例详细说明了TMC的工作原理,并通过基于内存操作密集的测试程序集PtrDist的实验对TMC进行了验证.实验结果表明,TMC能够显著提升内存泄漏分析的精度.     

一种基于模型检测的二进制程序脆弱性分析框架

针对二进制程序脆弱性分析的实际需求,提出了一种基于模型检测的二进制程序脆弱性分析框架。首先定义了二进制程序的抽象模型,描述了基于有限状态自动机的软件脆弱性形式化表示和基于事件系统的软件安全属性表示方法。在此基础上,提出了基于模型检测的脆弱性分析过程和算法。根据该分析框架,设计并实现了二进制程序脆弱性分析工具原型。通过脆弱性分析实验,详细说明了该框架的工作原理,验证了该分析方法的有效性。     

基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统.实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征.     

基于动态二进制插桩的密钥安全性检测

针对加密软件中的密钥安全性问题,提出一种基于动态二进制插桩的密钥安全性检测方法。该方法面向CryptoAPI加密应用程序,首先通过对CryptoAPI密钥应用模式的分析,指出潜在的密钥安全性漏洞;然后以动态二进制分析平台Pin为支撑,动态记录程序运行期间的加解密过程信息;在此基础上设计关联性漏洞检测算法,实现对密钥安全性的检测。测试结果表明,该方法能够有效检测出两大类密钥安全性漏洞。     

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3 GB实际网络数据和 11 000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。     

一种基于双模式虚拟机的多态Shellcode检测方法

近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.     

二叉树动态负载平衡方法

文中提出了一种二叉树动态负载平衡方法，该方法使用二叉树动态负载平衡系统模型，解决了集中式负载平衡系统中主结点在分配任务、响应请求以及负载移动时的潜在瓶颈问题；提出了负载小于给定值时请求负载平衡以提高处理器的利用率。分析表明，该方法在可以有效地提高并行计算的性能，特别是对于任务密集的情况。     

Dynamic emulation based modeling and detection of polymorphic shellcode at the network level

It is a promising way to detect polymorphic shellcode using emulation method. However, previous emulation-based approaches are limited in their performance and resilience against evasions. A new enhanced emulation-based detection approach is proposed, including an automaton-based model of the dynamic behavior of polymorphic shellcode and a detection algorithm, the detection criterion of which is derived from that model and ensures high detection accuracy. The algorithm also contains several optimization techniques, highly improving the running performance and the resilience against detection evasion shellcode. We have implemented a prototype system for our approach. The advantages of our algorithm are validated by the experiments with real network data, polymorphic shellcode samples generated by available polymorphic engines and hand-crafted detection evasion shellcode.     

鼓风机转子工件尺寸和对称性的检测方法

针对工业生产中鼓风机转子工件的尺寸和对称性经常出现不符合标准的情况,本文利用转子工件图像,基于边缘检测技术设计一种转子尺寸和对称性的检测方法。为了减少原始图像的噪声点,本文方法基于高斯滤波对原始图像进行降噪和二值化处理,在此基础上,使用基于Canny算子的边缘检测算法和基于最小二乘法的圆拟合方法,对工件内部孔洞进行检测;同时,使用基于改进的Canny算法对工件外部边缘进行检测,获取较为连续的边缘像素点,设计比对方法和动态模拟实验对尺寸和对称性进行检验。实验表明本文提出的检测方法对转子工件的尺寸和对称性的检测效果良好。     

非平稳动态行为模型及其在DDoS检测中的应用

应用层分布式拒绝服务攻击严重威胁承载网络应用与服务的服务器.传统服务器端检测方法的主要问题是难以刻画非稳态网站的用户访问行为,也无法动态跟踪正常用户的行为变化,导致误检率随时间推移逐渐增高.提出一种动态的用户行为模型,并应用于诊断基于HTTP协议的分布式拒绝服务攻击.该方法采用半马尔可夫链描述正常用户行为.模型通过有监督的前后向算法获得初始化参数,利用动态参数递推算法使模型可以根据用户群体行为的变化实时调整自身参数.从而精确地实现对用户行为的跟踪及诊断可能存在的异常行为.实验结果证明了本文所提方法的有效性.