基于shellcode静态特征的ROP攻击检测技术研究

摘要

通过缓冲区溢出的方式对系统漏洞实施攻击的方式，近年来由于其存在的广泛性和破坏的严重性，为人们所广为关注。目前，虽然针对缓冲区溢出的研究领域涌现出诸多检测和防护策略，但缓冲区溢出攻击形势依然非常严峻。一方面不断有新的系统漏洞被发掘和利用，另一方面已有的防护策略也不断被层出不穷的攻击方式所攻破。所以，针对缓冲区溢出攻击的研究仍然是网络安全领域一个炙手可热的话题。
　　 在众多的溢出攻击方式中，ROP(Return-Oriented Programming，面向返回的编程)攻击是一种全新的溢出攻击方式。它通过调用系统内存中已经存在的二进制代码短段(gadget)来构造一个图灵完全的攻击序列，可以实现绕过操作系统防范缓冲区溢出攻击的重要保护机机制DEP(Data Execution Prevention，数据执行保护)，给计算机系统和网络带来了极大的安全威胁。
　　 本文从缓冲区溢出的基本原理出发，首先分析和总结了缓冲区溢出攻击中常用的攻击方式与检测技术，并对Windows操作系统中引入的DEP和ASLR(Address Space Layout Randomization，地址空间配置随机化)两大防御策略及其相应的绕过方式进行了详细的阐述；随后介绍了ROP攻击的常见攻击方式，包括RILC(Return-into-libc，返回到系统库函数)攻击、基于RET指令的攻击、基于JMP指令的攻击等。以此为基础，又进一步对当前学术界提出的采用影子栈、ROPdefender、ROPscan等检测方式实施检测的优缺点进行了对比分析。
　　 基于以上分析结果，本文作者通过对ROP攻击中所使用的shellcode代码的特征的提取，总结出了ROP攻击代码应具备的三个重要特征：(1)ROP攻击代码中包含着有效内存地址序列，且该序列中的有效内存地址在攻击代码中的间距较小(即在ROP攻击代码中只包含有少量的参数和填充数据，其余均是有效内存地址)；(2)ROP攻击代码一般会包含对实现绕过操作系统DEP保护的相关函数的调用指令；(3)ROP攻击代码可能会使用RILC方式直接攻击系统。基于以上特征，本文提出了一种基于shellcode特征的ROP检测策略。实验结果表明，该策略对于ROP攻击具有较好的检测效果。

目录

文摘

英文文摘

第一章 绪论

第一节 研究背景及意义

第二节 研究概况

第三节 成熟的缓冲区溢出攻击方式

第四节 本文的研究工作

第五节 本文的章节安排

第二章 缓冲区溢出攻击及防御方法

第一节 缓冲区溢出攻击原理

第二节 缓冲区溢出类型分类

2.2.1 栈溢出攻击

2.2.2 堆溢出攻击

2.2.3 BSS数据段溢出攻击

第三节 缓冲区溢出攻击的实现方法

2.3.1 覆盖函数的返回地址或上一个函数的栈基指针

2.3.2 覆盖函数指针

2.3.3 针对GOT表的攻击

2.3.4 修改异常处理函数

2.3.5 BSS函数指针攻击

第四节 缓冲区溢出攻击检测技术

2.4.1 良好的编程习惯

2.4.2 运行中的实时检测

2.4.3 静态代码分析

2.4.4 动静结合的代码分析方式

2.4.5 基于网络的检测工具

第五节 已应用的防御策略及相应的绕过方法

2.5.1 DEP及其绕过方法

2.5.2 ASLR及其绕过方法

2.5.3 针对DEP与ASLR技术的攻击方法

第六节 本章小结

第三章 ROP攻击及检测技术

第一节 ROP攻击技术

3.1.1 Return-into-libc

3.1.2 采用ret指令的ROP

3.1.3 基于jmp指令的ROP

3.1.4 几种ROP攻击技术的比较

第二节 ROP攻击检测技术

3.2.1 基于ROP攻击代码特征的检测

3.2.2 基于ret指令的检测

3.2.3 基于jmp指令的检测

3.2.4 几种检测方法的比较

第三节 本章小结

第四章 基于shellcode静态特征的ROP攻击检测系统

第一节 shellcode简介

第二节 ROP攻击中的shellcode特征

4.2.1 ROP攻击shellcode静态特征

4.2.2 绕过DEP保护操作

4.2.3 调用系统关键函数

第三节 系统设计

4.3.1 特征地址收集阶段

4.3.2 实时检测阶段

第四节 实验评估

4.4.1 阈值的设定

4.4.2 检测效率

第五节 本章小结

第五章 总结与展望

参考文献

致谢

个人简历