10.3969/j.issn.1002-137X.2011.12.028
动静结合的攻击代码检测方法
缓冲区溢出攻击是近年来最主要的安全问题之一,攻击者利用缓冲区溢出漏洞执行远程代码,从而达到攻击的目的.Shellcode作为攻击的载体,是缓冲区攻击检测的主要对象.随着检测技术的发展,攻击者更倾向于使用多态技术对Shellcode进行加密来绕过IDS的检测.针对MS Windows操作系统下的Shellcode,提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法.在判断依据上做了新的定义,既使用动态模拟技术提高了对使用多态技术的Shellcode的检测率,也兼顾了检测的效率.基于该方法,设计和实现了一套原型系统,并进行了检测率、误报率和吞吐率等方面的测试.测试结果表明,该系统在检测Shellcode的准确率和性能方面都达到了令人满意的效果.
Shellcode、静态分析、动态执行
38
TP3;TN9
信息网络安全公安部重点实验室开放课题资助
2012-03-16(万方平台首次上网日期,不代表论文的发表时间)
共4页
125-127,155