【摘要】：二進制程序安全一直是安全領(lǐng)域的重中之重。Shellcode是二進制程序漏洞利用的核心代碼,是取得目標機器控制權(quán)進而達到攻擊者想要執(zhí)行的操作必不可少的一小段二進制字節(jié)。因此對shellcode的檢測是二進制程序安全防護中非常重要的一部分。Shellcode可能內(nèi)嵌于暗藏惡意的本地的文件中,也可能出現(xiàn)在注入攻擊的網(wǎng)絡(luò)流量之中。對shellcode進行檢測,是網(wǎng)絡(luò)IDS、蜜罐系統(tǒng)等必不可少的核心功能。常規(guī)的shellcode檢測技術(shù)依靠人工提取的靜態(tài)字節(jié)特征進行檢測,隨著網(wǎng)絡(luò)攻擊和防御技術(shù)地協(xié)同進化,不斷有新的編寫技術(shù)、變形技術(shù)、編碼技術(shù)和多態(tài)技術(shù)被用來規(guī)避針對shellcode的檢測,當今的常規(guī)檢測方案已經(jīng)漸漸不能適應(yīng)日益復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境。本文針對shellcode的檢測問題進行了分析研究,提出并實現(xiàn)了一種基于數(shù)據(jù)挖掘算法的shellcode檢測模型。首先,本文針對各種shellcode技術(shù)進行了說明,論證了基于指令序列建模的可行性。其次,分析和比對了靜態(tài)和動態(tài)方法獲取指令序列的優(yōu)勢劣勢,論證了選取靜態(tài)反匯編的可行性和必然性。再次,本文將自然語言處理中的詞袋模型應(yīng)用到shellcode檢測的具體場景,使得本系統(tǒng)不依賴于特定的特征而從數(shù)據(jù)中自動學(xué)習(xí)特征,因此能實現(xiàn)更廣范圍的檢測和更高的準確率。接著,本文在模型的基礎(chǔ)上設(shè)計和實現(xiàn)了一個流量shellcode檢測系統(tǒng),通過一個統(tǒng)一的模型對shellcode解碼段和普通shellcode進行雙層檢測,保證了其對各種shellcode的檢測能力。最后,通過可靠來源的數(shù)據(jù)集設(shè)計實驗,驗證了該基于數(shù)據(jù)挖掘算法shellcode檢測模型的有效性,驗證了流量shellcode檢測系統(tǒng)的檢測效果。本文設(shè)計和實現(xiàn)的系統(tǒng)和shellcode檢測庫libemu進行了對比實驗。實驗表明,本文的系統(tǒng)有更好的檢測效果和更全面的檢測范圍。其對采用多種技術(shù)的普通、變形、編碼和多態(tài)shellcode都具有較好的檢測效果和較高的檢測效率。
[Abstract]:Binary program security has always been the top priority in the field of security. Shellcode is the core code to exploit the vulnerability of binary programs, and it is a necessary bit of binary bytes to gain control of the target machine and to achieve the operations an attacker wants to perform. Therefore the detection of shellcode is a very important part of binary program security. Shellcode may be embedded in malicious local files or in the network traffic of injection attack. The detection of shellcode is the essential core function of network IDS, honeypot system. The conventional shellcode detection technology relies on the static byte features extracted by hand to detect. With the coevolution of network attack and defense technology, there are constantly new programming techniques and deformation techniques. Coding techniques and polymorphic techniques are used to avoid the detection of shellcode. Nowadays, the conventional detection schemes are gradually unable to adapt to the increasingly complex and changeable network security environment. In this paper, the detection problem of shellcode is analyzed, and a shellcode detection model based on data mining algorithm is proposed and implemented. Firstly, this paper explains various shellcode technologies and demonstrates the feasibility of modeling based on instruction sequence. Secondly, the advantages and disadvantages of obtaining instruction sequences by static and dynamic methods are analyzed and compared, and the feasibility and inevitability of selecting static disassembly are demonstrated. Thirdly, this paper applies the word bag model in natural language processing to the specific scene of shellcode detection, so that the system can automatically learn features from the data without relying on specific features, so that it can achieve a wider range of detection and higher accuracy. Then, a traffic shellcode detection system is designed and implemented on the basis of the model. A unified model is used to detect the shellcode decoding segment and the ordinary shellcode, which ensures the detection ability of the shellcode. Finally, the validity of the shellcode detection model based on the data mining algorithm is verified by the data set design experiment of reliable sources, and the detection effect of the traffic shellcode detection system is verified. The system designed and implemented in this paper is compared with shellcode detection library libemu. Experiments show that the system has better detection effect and more comprehensive detection range. It has better detection effect and higher detection efficiency for common, deformation, coding and polymorphic shellcode.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP309;TP311.13

【相似文獻】

相關(guān)期刊論文 前10條

1 陳文鋒;;基于統(tǒng)計信息的數(shù)據(jù)挖掘算法[J];統(tǒng)計與決策;2008年15期

2 王清毅,張波,蔡慶生;目前數(shù)據(jù)挖掘算法的評價[J];小型微型計算機系統(tǒng);2000年01期

3 胡浩紋,魏軍,胡濤;模糊數(shù)據(jù)挖掘算法在人力資源管理中的應(yīng)用[J];計算機與數(shù)字工程;2002年05期

4 萬國華,陳宇曉;數(shù)據(jù)挖掘算法及其在股市技術(shù)分析中的應(yīng)用[J];計算機應(yīng)用;2004年11期

5 文俊浩,胡顯芝,何光輝,徐玲;小波在數(shù)據(jù)挖掘算法中的運用[J];重慶大學(xué)學(xué)報(自然科學(xué)版);2004年12期

6 鄒志文,朱金偉;數(shù)據(jù)挖掘算法研究與綜述[J];計算機工程與設(shè)計;2005年09期

7 趙澤茂,何坤金,胡友進;基于距離的異常數(shù)據(jù)挖掘算法及其應(yīng)用[J];計算機應(yīng)用與軟件;2005年09期

8 趙晨,諸靜;過程控制中的一種數(shù)據(jù)挖掘算法[J];武漢大學(xué)學(xué)報(工學(xué)版);2005年05期

9 王振華,柴玉梅;基于決策樹的分布式數(shù)據(jù)挖掘算法研究[J];河南科技;2005年02期

10 胡作霆;董蘭芳;王洵;;圖的數(shù)據(jù)挖掘算法研究[J];計算機工程;2006年03期

相關(guān)會議論文 前10條

1 賀煒;邢春曉;潘泉;;因果不完備條件下的數(shù)據(jù)挖掘算法[A];第二十二屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2005年

2 劉玲;張興會;;基于神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)挖掘算法研究[A];全國第二屆信號處理與應(yīng)用學(xué)術(shù)會議�？痆C];2008年

3 陳曦;曾凡鋒;;數(shù)據(jù)挖掘算法在風險評估中的應(yīng)用[A];2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學(xué)術(shù)會議論文集（上冊）[C];2007年

4 郭新宇;梁循;;大型數(shù)據(jù)庫中數(shù)據(jù)挖掘算法SLIQ的研究及仿真[A];2004年中國管理科學(xué)學(xué)術(shù)會議論文集[C];2004年

5 張沫;欒媛媛;秦培玉;羅丹;;基于聚類算法的多維客戶行為細分模型研究與實現(xiàn)[A];2011年通信與信息技術(shù)新進展——第八屆中國通信學(xué)會學(xué)術(shù)年會論文集[C];2011年

6 潘國林;楊帆;;數(shù)據(jù)挖掘算法在保險客戶分析中的應(yīng)用[A];全國第20屆計算機技術(shù)與應(yīng)用學(xué)術(shù)會議（CACIS·2009）暨全國第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會議論文集（上冊）[C];2009年

7 張乃岳;張力;張學(xué)燕;;基于字段匹配的CRM數(shù)據(jù)挖掘算法與應(yīng)用[A];邏輯學(xué)及其應(yīng)用研究——第四屆全國邏輯系統(tǒng)、智能科學(xué)與信息科學(xué)學(xué)術(shù)會議論文集[C];2008年

8 祖巧紅;陳定方;胡吉全;;客戶分析中的數(shù)據(jù)挖掘算法比較研究[A];12省區(qū)市機械工程學(xué)會2006年學(xué)術(shù)年會湖北省論文集[C];2006年

9 李怡凌;馬亨冰;;一種基于本體的關(guān)聯(lián)規(guī)則挖掘算法[A];全國第19屆計算機技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集（下冊）[C];2008年

10 盛立;劉希玉;高明;;基于粗糙集理論的數(shù)據(jù)挖掘算法研究[A];山東省計算機學(xué)會2005年信息技術(shù)與信息化研討會論文集（二）[C];2005年

相關(guān)重要報紙文章 前1條

1 ;選擇合適的數(shù)據(jù)挖掘算法[N];計算機世界;2007年

相關(guān)博士學(xué)位論文 前4條

1 陳云開;基于粗糙集和聚類的數(shù)據(jù)挖掘算法及其在反洗錢中的應(yīng)用研究[D];華中科技大學(xué);2007年

2 張靜;基于粗糙集理論的數(shù)據(jù)挖掘算法研究[D];西北工業(yè)大學(xué);2006年

3 沙朝鋒;基于信息論的數(shù)據(jù)挖掘算法[D];復(fù)旦大學(xué);2008年

4 梁瑾;模糊粗糙單調(diào)數(shù)據(jù)挖掘算法及在污水處理中應(yīng)用研究[D];華南理工大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 劉宇揚;基于數(shù)據(jù)挖掘算法的shellcode檢測研究與實現(xiàn)[D];北京郵電大學(xué);2016年

2 謝亞鑫;基于Hadoop的數(shù)據(jù)挖掘算法的研究[D];華北電力大學(xué);2015年

3 彭軍;基于新型異構(gòu)計算平臺的數(shù)據(jù)挖掘算法研究與實現(xiàn)[D];電子科技大學(xué);2015年

4 楊維;基于Hadoop的健康物聯(lián)網(wǎng)數(shù)據(jù)挖掘算法研究與實現(xiàn)[D];東北大學(xué);2013年

5 張永芳;基于Hadoop平臺的并行數(shù)據(jù)挖掘算法研究[D];安徽理工大學(xué);2016年

6 李圍成;基于FP-樹的時空數(shù)據(jù)挖掘算法研究[D];河南工業(yè)大學(xué);2016年

7 官凱;基于MapReduce的圖挖掘研究[D];貴州師范大學(xué);2016年

8 陳名輝;基于YARN和Spark框架的數(shù)據(jù)挖掘算法并行研究[D];湖南師范大學(xué);2016年

9 劉少龍;面向大數(shù)據(jù)的高效數(shù)據(jù)挖掘算法研究[D];華北電力大學(xué)(北京);2016年

10 羅俊;數(shù)據(jù)挖掘算法的并行化研究及其應(yīng)用[D];青島大學(xué);2016年

，

本文編號：2267369