本文選題：信息安全 + 緩沖區(qū)溢出　； 參考：《東北大學(xué)》2014年碩士論文

【摘要】：自1988年首個利用緩沖區(qū)溢出漏洞進行傳播的病毒Morris爆發(fā)以來,緩沖區(qū)溢出攻擊就一直是計算機安全中最嚴重的攻擊行為之一。近些年,它又成為了高級持續(xù)性威脅APT (Advanced Persistent Threat)的主要攻擊手段。在針對伊朗核設(shè)施的APT行動中,就利用了7個緩沖區(qū)溢出漏洞。雖然工業(yè)界和學(xué)術(shù)界提出各種技術(shù)保護軟件及操作系統(tǒng)安全,但攻擊數(shù)量仍有增無減。而漏洞攻擊技術(shù)也不斷發(fā)展,從緩沖區(qū)溢出到最近的ROP (Return-Oriented-Programming)攻擊。漏洞攻擊檢測是信息安全領(lǐng)域的研究熱點,特別是如何在二進制代碼級檢測攻擊更是業(yè)界關(guān)注的焦點,但x86指令的復(fù)雜性給檢測帶來諸多挑戰(zhàn)。本文針對緩沖區(qū)溢出攻擊時,攻擊代碼來源于程序接收的輸入數(shù)據(jù)這一特點,提出了一種基于數(shù)據(jù)不可信的檢測方法。當(dāng)程序修改流程時,如果將要執(zhí)行的代碼是輸入數(shù)據(jù)的子串,就表明發(fā)生了緩沖區(qū)溢出攻擊。為了避免頻繁進行攻擊代碼匹配所帶來的巨大額外開銷,本文提出了一個預(yù)處理方法,將顯然合法的跳轉(zhuǎn)目的地址與可疑的跳轉(zhuǎn)目的地址區(qū)分出來,只對可疑的跳轉(zhuǎn)進行攻擊代碼匹配,這種方式可以有效地降低額外開銷。對于ROP攻擊,由于在ROP攻擊時ROP鏈也是源于原始數(shù)據(jù),因此數(shù)據(jù)不可信的思想同樣可以用于檢測ROP攻擊。本文提出了一個基于數(shù)據(jù)不可信的ROP攻擊檢測方法,檢測到疑似ROP鏈時,將當(dāng)前棧頂指針ESP (Extended Stack Pointer)指向的內(nèi)容與原始輸入數(shù)據(jù)比較,從而判斷是否發(fā)生了ROP攻擊。利用動態(tài)插樁技術(shù),本文在Win32平臺下實現(xiàn)了基于數(shù)據(jù)不可信的緩沖區(qū)溢出攻擊檢測方法的原型系統(tǒng)。使用該系統(tǒng)對多種緩沖區(qū)溢出攻擊進行檢測,實驗證明,本文提出的基于數(shù)據(jù)不可信的檢測方法在準確性上達到了良好的效果。同時,本文方法也將額外開銷降低到了一個合理的范圍。
[Abstract]:Since the first outbreak of Morris virus using buffer overflow vulnerability in 1988, buffer overflow attack has been one of the most serious attacks in computer security. In recent years, it has become the main attack method of Advanced Persistent threat (APT). Seven buffer overflow vulnerabilities were exploited in the APT operation against Iran's nuclear facilities. Although industry and academia put forward a variety of technologies to protect software and operating system security, but the number of attacks continues unabated. Vulnerability attack techniques have been developed from buffer overflows to recent ROP Return-Oriented-programming attacks. Vulnerability detection is a research hotspot in the field of information security, especially how to detect attacks at the binary code level is the focus of attention, but the complexity of x86 instructions brings many challenges to detection. In view of the fact that the attack code originates from the input data received by the program in buffer overflow attack, this paper proposes a detection method based on untrusted data. When the program modifies the process, if the code to be executed is a substring of input data, a buffer overflow attack occurs. In order to avoid the huge additional cost caused by frequent attack code matching, this paper proposes a preprocessing method to distinguish the apparently legitimate jump destination address from the suspicious jump destination address. Attack code matching only for suspicious jumps can effectively reduce additional overhead. For ROP attacks, because ROP chains also originate from raw data in ROP attacks, the idea that data is not trusted can also be used to detect ROP attacks. In this paper, a ROP attack detection method based on untrusted data is proposed. When a suspected ROP chain is detected, the contents of the current top stack pointer ESP extended Stack interface are compared with the original input data to determine whether a ROP attack has occurred. Using dynamic pile insertion technology, this paper implements a prototype system of buffer overflow attack detection method based on data untrusted under Win32 platform. The system is used to detect various buffer overflow attacks. Experiments show that the method proposed in this paper has good accuracy. At the same time, this method also reduces the extra cost to a reasonable range.
【學(xué)位授予單位】：東北大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 劉圣卓,謝余強,魏強;緩沖區(qū)溢出攻擊的防護措施[J];信息工程大學(xué)學(xué)報;2003年02期

2 李衛(wèi) ,唐文容 ,王岳澎;針對服務(wù)器的緩沖區(qū)溢出攻擊及防范[J];中國金融電腦;2003年10期

3 李學(xué)忠;緩沖區(qū)溢出攻擊的分析及防范措施[J];電子工藝技術(shù);2005年05期

4 姜瑜;;緩沖區(qū)溢出攻擊技術(shù)研究[J];電腦知識與技術(shù);2005年33期

5 肖道舉,陳博文,陳曉蘇;一種基于程序邏輯結(jié)構(gòu)分析的緩沖區(qū)溢出攻擊抵御方法[J];計算機工程與科學(xué);2005年05期

6 趙有恩;周守軍;;緩沖區(qū)溢出攻擊的分析及防范[J];計算機與信息技術(shù);2005年06期

7 劉蕊;;計算機緩沖區(qū)溢出攻擊問題的研究[J];工程地質(zhì)計算機應(yīng)用;2007年04期

8 董敏;畢盛;齊德昱;胡立新;;基于狀態(tài)圖的緩沖區(qū)溢出攻擊分析[J];計算機工程;2008年23期

9 鐘達夫;唐懿芳;;一種緩沖區(qū)溢出攻擊描述語言的研究與設(shè)計[J];電腦知識與技術(shù);2008年36期

10 朱國春;;程序緩沖區(qū)溢出攻擊的攻擊樹建模[J];科技信息(科學(xué)教研);2008年20期

相關(guān)會議論文 前3條

1 杜皎;荊繼武;李國輝;;嵌入式網(wǎng)絡(luò)安全設(shè)備的抗緩沖區(qū)溢出攻擊機制[A];第二十次全國計算機安全學(xué)術(shù)交流會論文集[C];2005年

2 王立民;曾凡平;李琴;梁坤;陳劍;;針對緩沖區(qū)溢出攻擊的隨機化技術(shù)[A];第二十一次全國計算機安全學(xué)術(shù)交流會論文集[C];2006年

3 盧菲;謝永強;;基于Linux的防范緩沖區(qū)溢出攻擊的策略和方法研究[A];第十八次全國計算機安全學(xué)術(shù)交流會論文集[C];2003年

相關(guān)重要報紙文章 前1條

1 ;安全的合理選擇[N];網(wǎng)絡(luò)世界;2006年

相關(guān)碩士學(xué)位論文 前10條

1 鐘達夫;緩沖區(qū)溢出攻擊語言研究與實現(xiàn)[D];廣西師范大學(xué);2006年

2 許來光;基于數(shù)據(jù)不可信的緩沖區(qū)溢出攻擊檢測技術(shù)研究[D];東北大學(xué);2014年

3 張秀峰;緩沖區(qū)溢出攻擊的檢測與防范系統(tǒng)[D];電子科技大學(xué);2008年

4 鄧爽;緩沖區(qū)溢出攻擊分析及防范策略研究[D];山東大學(xué);2009年

5 史勝利;緩沖區(qū)溢出攻擊分析及實時檢測方法研究[D];陜西師范大學(xué);2011年

6 萬毓西;嵌入式系統(tǒng)抗緩沖區(qū)溢出攻擊的硬件防御機制研究[D];華中科技大學(xué);2011年

7 張會潔;可信執(zhí)行環(huán)境下緩沖區(qū)溢出攻擊防范的研究[D];北京交通大學(xué);2013年

8 韓萬軍;緩沖區(qū)溢出攻擊代碼檢測與防御技術(shù)研究[D];解放軍信息工程大學(xué);2012年

9 秦肇偉;緩沖區(qū)溢出攻擊檢測工具的設(shè)計與實現(xiàn)[D];電子科技大學(xué);2010年

10 付春雷;基于多階段網(wǎng)絡(luò)攻擊模型的緩沖區(qū)溢出攻擊技術(shù)研究與實踐[D];重慶大學(xué);2006年

，

本文編號：1880252