本文關(guān)鍵詞：S-Tracker:基于棧異常的shellcode檢測(cè)方法

  更多相關(guān)文章： 軟件安全 shellcode檢測(cè) 棧幀遍歷 棧異常 ROP攻擊

【摘要】：根據(jù)shellcode的API函數(shù)及系統(tǒng)調(diào)用對(duì)棧幀的影響,定義了EBP異常、Ret異常和長(zhǎng)度異常,并在此基礎(chǔ)上提出了基于棧異常的shellcode檢測(cè)方法——S-Tracker.該方法遍歷特定敏感API函數(shù)的棧幀鏈、檢測(cè)異常、定位漏洞函數(shù)和Shellcode代碼,并采用棧幀重構(gòu)解決了棧幀中的EBP缺失或破壞的問(wèn)題.實(shí)驗(yàn)結(jié)果表明:S-Tracker能有效檢測(cè)到基于普通shellcode、混合型shellcode以及純ROP shellcode的攻擊行為,具備追蹤shellcode分布區(qū)域和EIP跳轉(zhuǎn)函數(shù)的功能,且其性能開(kāi)銷(xiāo)較小、沒(méi)有誤報(bào);與微軟EMET工具相比,STracker在內(nèi)核層實(shí)現(xiàn),更加難以被攻擊者繞過(guò).
【作者單位】： 武漢大學(xué)計(jì)算機(jī)學(xué)院;武漢大學(xué)空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室;中國(guó)證券登記結(jié)算有限責(zé)任公司;
【關(guān)鍵詞】： 軟件安全 shellcode檢測(cè) 棧幀遍歷 棧異常 ROP攻擊
【基金】：國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃資助項(xiàng)目(2014CB340600) 國(guó)家自然科學(xué)基金資助項(xiàng)目(61332019,61373168,61202387,61202385) 中國(guó)博士后科學(xué)基金資助項(xiàng)目(2012M510641) 武漢市青年科技晨光計(jì)劃資助項(xiàng)目(2012710367)
【分類號(hào)】：TP393.08
【正文快照】： 系統(tǒng)的開(kāi)放性、交互性和軟件自身缺陷導(dǎo)致計(jì)算機(jī)系統(tǒng)長(zhǎng)期遭受漏洞利用的攻擊,通過(guò)shellcode檢測(cè)可及時(shí)發(fā)現(xiàn)和阻止攻擊者實(shí)施攻擊.從shellcode的代碼和結(jié)構(gòu)的特征,可以提煉出用于檢測(cè)shellcode的啟發(fā)式知識(shí)或者簽名,以此來(lái)檢測(cè)程序外部輸入或網(wǎng)絡(luò)流中已知的shell-code[1-3],但，

本文編號(hào)：672990