基于符号执行的Python攻击脚本分析

摘要

随着信息技术的高速发展与广泛应用，互联网与计算机已完全融入人们的生活。但是相应的，网络入侵的风险也急剧增加。IDS作为重要的信息安全辅助系统，能够应对网络蠕虫及部分恶意网络攻击。IDS所使用的攻击特征往往是由安全人员通过抓取实验数据并分析流传脚本得到。但是随着新型漏洞层出不穷，人力分析的数量和质量不能与漏洞出现的速度相适应。因此，我们需要尽快的提取攻击特征。在这样的背景下，攻击特征自动提取技术诞生了。现有的攻击特征自动提取技术分为基于网络（NSG）和基于主机（NSG）两种。但这两种的方法都需要搭建实验环境和特定版本的目标靶机，确切来说是半自动的，并不能完全脱离人力。
　　考虑到脚本流传的速率以及提取攻击特征的难度，我们提出基于符号执行的Python脚本自动分析系统PyExZ3+。该系统基于PyExZ3，通过应用符号执行技术，对捕捉到的Python攻击脚本进行符号执行，以提取脚本中的攻击特征。为了在攻击特征自动提取技术中应用符号执行技术，本文针对符号执行实际应用中出现的路径爆炸、运行时符号化等问题提出了循环识别策略、运行时解析器和编码路径优化等策略。除此之外，本文对Python攻击脚本中常用库函数进行环境建模，使其在保证局部一致性的条件下，能够按照正常逻辑进行符号执行操作。
　　为了验证符号执行技术的有效性，本文设计了功能性测试、效率测试以及输出分析多个实验进行验证。对真实Python攻击脚本的检测结果表明，符号执行在脚本分析领域具有可行性和实用性；相比现有的CHEF、PyExZ3这类通用符号执行工具，PyExZ3+更加高效和精确，更适用于脚本的自动化分析。作为基础符号执行工具，基础功能性测试和效率测试表明PyExZ3+能够动态识别循环并能够针对循环路径爆炸问题进行优化，提高了符号执行效率。
　　总的来说，PyExZ3+能够有效的对目标脚本程序进行动态符号执行，实现高效、可行的自动化分析。

目录

声明

第一章 绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.3 本文主要研究工作

1.4 论文章节安排

第二章 基础知识理论简述

2.1 符号执行技术

2.2 Python符号执行引擎

2.3 Python攻击脚本与符号执行

2.4 本章小结

第三章 基于符号执行的Python脚本分析

3.1 方法概况

3.2 动态符号化

3.3 循环识别算法

3.4 编码路径优化

3.5 本章小结

第四章 基于符号执行的Python脚本分析原型系统

4.1 系统设计

4.2 脚本收集模块

4.3 API封装模块

4.4 运行时跟踪模块

4.5 搜索策略模块

4.6 输出信息处理模块

4.7 本章小结

第五章 系统测试和评估

5.1 实验环境

5.2 功能性测试

5.3 循环测试

5.4 输出分析

5.5 本章小结

第六章 结束语

6.1 主要结论与总结

6.2 未来展望

参考文献

致谢

攻读学位期间发表的学术论文

攻读学位期间申请的专利