基于动态分析的漏洞自动化验证技术研究

摘要

近年来互联网恶意攻击事件频发,各大安全平台捕获的攻击样本数量不断增多，样本分析成为了互联网安全研究领域的重点。样本分析中的一个核心环节就是漏洞验证。漏洞验证即验证样本是否利用了软件漏洞进行攻击，具体的验证内容包括漏洞类型和攻击手段。传统的漏洞验证通常采用人工分析的方式，然而人工分析存在效率低下和成本较高的问题，因此研究一种漏洞自动化验证的新方法来缓解这些问题就显得很有意义。针对此需求，本文从动态分析技术出发，提出了对大量样本进行漏洞自动化验证的新方法，并设计和实现了验证系统原型。漏洞自动化验证方法分为环境搭建和验证规则设计两个方面，对此，本文进行了如下研究：
　　1.本文研究了环境搭建所面临两个主要问题。一是单一样本进行漏洞验证，所需的环境有什么特征；二是在样本类型复杂的情况下，如何构建方案来满足所需环境复杂的需求。本文归纳出单一样本所需环境的特征，并对其做出形式化描述。在此基础上，提出了漏洞自动化验证的环境搭建方案。该方案采取将样本分发至环境集群的方法，提高环境匹配的成功率。进一步，针对环境集群搭建成本高的问题，本文提出了软件环境集合划分算法，在不降低漏洞验证的准确率前提下，减少了环境搭建的成本。
　　2.本文研究了缓冲区溢出漏洞和ROP攻击的自动化验证规则。通过分析缓冲区溢出漏洞触发时函数返回地址特征，提出了基于函数返回地址匹配的规则来验证样本是否触发了缓冲区溢出漏洞。通过构造大量的ROP攻击链，分析链中Gad-get的长度特征，以及Gadget中Ret指令之前两条指令的行为特征，构建出了基于统计规则和行为规则的ROP攻击混合检测方案。
　　3.针对不同平台下动态分析技术的优劣，选择基于调试器和动态插桩的技术，搭建环境集群，实现了漏洞自动化验证原型系统。采用实际的攻击样本对系统进行了功能和性能测试，测试结果表明，本验证系统误报率更低性能更好。

目录

声明

第一章 绪论

1.1 研究工作的背景与意义

1.2 国内外研究历史与现状

1.3 本文的主要研究内容及创新

1.4 本论文的结构安排

第二章 基于动态分析的漏洞自动化验证基本知识

2.1 软件动态分析

2.2 漏洞防御

2.3 漏洞验证

2.4 调试器技术

2.5 插桩技术

2.6 本章小结

第三章 漏洞自动化验证关键技术

3.1 验证环境研究

3.2 验证规则研究

3.3 动态分析技术在漏洞自动化验证中的应用

3.4 本章小结

第四章 漏洞自动化验证平台设计与实现

4.1 总体流程及设计

4.2 客户端模块设计

4.3 控制端模块设计

4.4 验证端模块设计

4.5 本章小结

第五章 实验结果及分析

5.1 测试网络环境

5.2 系统测试

5.3 验证规则测试

5.4 本章小结

第六章 总结与展望

6.1 论文工作总结

6.2 后续工作展望

致谢

参考文献

攻硕期间取得的研究成果