基于攻击代码检测的缓冲区溢出防御技术研究

摘要

缓冲区溢出攻击是当前互联网中存在的主要安全威胁之一，通过利用远程主机服务程序存在的缓冲区溢出漏洞，攻击者能够将预先准备好的攻击代码注入目标主机系统，改变程序执行流程使攻击代码得以执行，从而实施破坏行为。由于成功注入攻击代码是实施攻击的第一步，也是最关键的一步，因此研究缓冲区溢出攻击代码的检测是非常有意义的。
　　 本文介绍了缓冲区溢出攻击的基本原理及关键技术，总结了现有的缓冲区溢出防御方法的不足。介绍了一种基于动态模拟的多态shellcode检测方法作为基本方案，分析了该方案的可行性、基本原理及存在的缺陷。为提高基本方案的准确性和速度，本文提出一个基于攻击代码执行行为的改进检测方案。作为检测算法的基础，本文通过深入研究多态shelleode的行为特征，提出一个多态shellcode行为模型，该模型能够更准确地区别多态shellcode与随机数据的执行行为。基于多态shellcode行为模型，设计了相应的检测算法，并提出采用数据流预处理和模拟循环优化的方法降低检测系统的时间开销，对于优化技术和检测方案的具体实现等关键技术给出了详细描述。
　　 整个改进方案的实现基于Linux系统以及x86模拟应用编程接口库Libemu，使用C语言开发。最后，使用MSF(MetaSploit Framework)提供的6种多态引擎生成的多态shellcode样本对改进方案的漏报率进行测试，通过真实的网络流量对改进方案的误报率和系统性能进行分析，并通过与基本方案进行对比，证明了改进方案具有较好的性能与可靠性。

目录

文摘

英文文摘

声明

第1章 绪论

1.1网络安全现状

1.2缓冲区溢出攻击的历史背景与现状

1.3缓冲区溢出攻击基本原理

1.3.1缓冲区溢出漏洞类型和危害

1.3.2栈溢出的基本原理

1.4本文的主要工作与内容安排

第2章 缓冲区溢出攻击防御方法综述

2.1攻击技术分析研究

2.2静态检测技术

2.3动态防御技术

2.4其它防御技术

2.5小结

第3章 缓冲区溢出攻击代码及代码检测技术

3.1 shellcode编写技术

3.1.1编写基本的shellcode

3.1.2消除shellcode中的零代码

3.1.3多态shellcode技术

3.2攻击代码检测方法的研究现状

3.3小结

第4章 基于攻击代码执行行为的检测方案

4.1一种基于动态模拟的检测方法

4.2基于攻击代码执行行为的改进检测方案

4.2.1多态shellcode行为模型

4.2.2判决准则的设定

4.2.3检测算法终止条件

4.2.4改进方案性能优化设计

4.3小结

第5章 检测方案设计及实现

5.1检测方案的设计

5.2检测方案的实现

5.2.1网络数据监听模块

5.2.2TCP流重组模块

5.2.3数据流预处理模块

5.2.4循环模拟检测模块

5.3方案测试及结果分析

5.3.1漏报率测试

5.3.2误报率测试

5.3.3系统运行性能分析

5.4小结

结论

致谢

参考文献

攻读硕士学位期间发表的论文及参加的科研项目