發(fā)布時間：2018-01-20 16:33

  本文關(guān)鍵詞： 多態(tài)Shellcode GetPC定位 指令識別 虛擬機 控制流模式 數(shù)據(jù)流模式 Define-Use鏈　出處：《計算機研究與發(fā)展》2014年08期 　論文類型：期刊論文

【摘要】：近年來,Shellcode攻擊通常利用多態(tài)技術(shù)進行自我加密來繞過網(wǎng)絡(luò)層設(shè)備的檢測,而現(xiàn)有檢測方法無法區(qū)分多態(tài)Shellcode與加殼保護代碼.提出了一種基于雙模式虛擬機的多態(tài)Shellcode檢測方法,該方法改進了現(xiàn)有的GetPC定位機制,實現(xiàn)了Shellcode的初步定位,通過IA-32指令識別對網(wǎng)絡(luò)流量的進行進一步過濾,利用有限自動機及其判別條件實現(xiàn)虛擬機控制流模式和數(shù)據(jù)流模式之間的切換,并通過結(jié)合現(xiàn)有的特征匹配技術(shù)實現(xiàn)對多層加密的多態(tài)Shellcode的檢測.實驗結(jié)果表明,針對大量真實的網(wǎng)絡(luò)數(shù)據(jù),該方法在保證高檢測召回率的同時,能夠?qū)崿F(xiàn)對多態(tài)Shellcode與加殼保護軟件的有效區(qū)分,避免了對正常流量的誤報行為,并且時間開銷介于靜態(tài)分析與動態(tài)模擬之間,為網(wǎng)絡(luò)層檢測多態(tài)Shellcode提供了一種有效方法.
[Abstract]:In recent years, shell code attacks usually use polymorphic techniques to self-encrypt to bypass the detection of network layer devices. However, the existing detection methods can not distinguish between polymorphic Shellcode and shell protection code. A new detection method of polymorphic Shellcode based on dual-mode virtual machine is proposed. This method improves the existing GetPC location mechanism, realizes the initial positioning of Shellcode, and filters the network traffic through IA-32 instruction recognition. The switching between the control flow mode and the data flow mode of virtual machine is realized by using finite automata and its discriminant conditions. The detection of multi-layer encrypted polymorphic Shellcode is realized by combining the existing feature matching technology. The experimental results show that a large number of real network data. This method can effectively distinguish the polymorphic Shellcode from the shell protection software while ensuring high detection recall rate, and avoids the false positive behavior of the normal flow rate. The time cost is between static analysis and dynamic simulation, which provides an effective method for network layer detection of polymorphic Shellcode.
【作者單位】： 北京航空航天大學(xué)網(wǎng)絡(luò)技術(shù)北京市重點實驗室;
【基金】：國家自然科學(xué)基金項目(61170295) 國防基礎(chǔ)科研計劃項目(A2120110006) 北京市教育委員會共建項目建設(shè)計劃項目(JD100060630) 中航工業(yè)產(chǎn)學(xué)研項目(CXY2011BH07)
【分類號】：TP393.08
【正文快照】： 蠕蟲、病毒等惡意代碼可以利用網(wǎng)絡(luò)進行自我復(fù)制和傳播,從而對計算機安全造成重大危害.這些惡意代碼通常以堆棧攻擊[1-2]作為其主要網(wǎng)絡(luò)入侵手段.堆棧攻擊主要通過向遠程主機發(fā)送畸形數(shù)據(jù)包,利用遠程主機系統(tǒng)或軟件的缺陷,淹沒其返回地址,劫持進程使之跳轉(zhuǎn)到畸形數(shù)據(jù)包附帶的S

【相似文獻】

相關(guān)期刊論文 前10條

1 文征,徐成,李仁發(fā);Java技術(shù)在嵌入式實時操作系統(tǒng)上的實現(xiàn)[J];科學(xué)技術(shù)與工程;2005年03期

2 倪曉宇,易紅,倪中華,湯文成;基于虛擬機的B/S協(xié)同系統(tǒng)的設(shè)計[J];計算機集成制造系統(tǒng)-CIMS;2005年02期

3 劉暉;;系統(tǒng)問答[J];電腦迷;2005年05期

4 劉猛;王中生;趙紅毅;;基于Honeynet系統(tǒng)的Linux日志記錄研究[J];電腦知識與技術(shù)(學(xué)術(shù)交流);2006年36期

5 張振倫;;虛擬機的演化[J];軟件世界;2007年13期

6 娟子;;惡意軟件瞄準虛擬技術(shù)[J];信息系統(tǒng)工程;2008年02期

7 黃金敢;;基于Integrity VM技術(shù)的服務(wù)器整合設(shè)計[J];福建電腦;2008年06期

8 基地;;關(guān)于Windows 7 的風(fēng)言風(fēng)雨[J];現(xiàn)代計算機(普及版);2008年04期

9 ;打造虛擬存儲平臺：Hyper-V+NetApp[J];微電腦世界;2009年02期

10 魏楚元;;虛擬機應(yīng)用于高校數(shù)據(jù)中心[J];中國教育網(wǎng)絡(luò);2009年04期

相關(guān)會議論文 前10條

1 孟廣平;;虛擬機漂移網(wǎng)絡(luò)連接方法探討[A];中國計量協(xié)會冶金分會2011年會論文集[C];2011年

2 汝學(xué)民;莊越挺;;計算機病毒技術(shù)的發(fā)展與防范[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

3 陳曉東;俞承芳;李旦;;基于FPGA的神經(jīng)網(wǎng)絡(luò)控制器及其應(yīng)用[A];第六屆全國信息獲取與處理學(xué)術(shù)會議論文集（3）[C];2008年

4 王軼;陳俊輝;;使用VPC2007搭建企業(yè)應(yīng)用和測試平臺[A];2007第二屆全國廣播電視技術(shù)論文集2（下）[C];2007年

5 于洋;陳曉東;俞承芳;李旦;;基于FPGA平臺的虛擬機建模與仿真[A];2007'儀表，自動化及先進集成技術(shù)大會論文集（一）[C];2007年

6 劉孟全;;服務(wù)器虛擬化相關(guān)問題分析[A];廣西計算機學(xué)會2009年年會論文集[C];2009年

7 李永;吳慶波;蘇航;;基于虛擬機的動態(tài)遷移技術(shù)分析和研究[A];計算機技術(shù)與應(yīng)用進展·2007——全國第18屆計算機技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集[C];2007年

8 李鋼;應(yīng)晶;;C2000語言:一種工業(yè)監(jiān)控組態(tài)語言[A];2005中國控制與決策學(xué)術(shù)年會論文集（下）[C];2005年

9 向永謙;崔競松;;基于vSphere的安全管理套件[A];全國計算機安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

10 成鵬;張建生;延婭妮;;虛擬化架構(gòu)研究及其在新華社采編系統(tǒng)中的應(yīng)用[A];中國新聞技術(shù)工作者聯(lián)合會五屆一次理事會暨學(xué)術(shù)年會論文集（上篇）[C];2009年

相關(guān)重要報紙文章 前10條

1 ;利用工具解決虛擬機監(jiān)測難題[N];網(wǎng)絡(luò)世界;2007年

2 ;虛擬機管理工具仍有改進空間[N];網(wǎng)絡(luò)世界;2007年

3 ;加強虛擬服務(wù)器安全的10個步驟[N];計算機世界;2008年

4 特約作者：聶陽德 鐘達文;體驗虛擬機的神奇魅力(第B04版)[N];電腦報;2002年

5 江蘇 王志軍;用好虛擬機VMware[N];電腦報;2002年

6 薛啟康;VMware虛擬機的文件級備份[N];中國計算機報;2007年

7 ;BEA發(fā)布新版本Java虛擬機[N];人民郵電;2007年

8 電腦商報記者 張戈;趨勢科技的一大步[N];電腦商報;2011年

9 編譯 沈建苗;虛擬化技術(shù)的安全價值[N];計算機世界;2007年

10 河北科技大學(xué) 任文霞邋河北經(jīng)貿(mào)大學(xué) 王春海;在U盤上定制個人PC[N];中國計算機報;2008年

相關(guān)博士學(xué)位論文 前10條

1 董玉雙;云平臺中虛擬機部署的關(guān)鍵問題研究[D];吉林大學(xué);2014年

2 杜雨陽;虛擬機狀態(tài)遷移和相變存儲磨損均衡方法研究[D];清華大學(xué);2011年

3 趙佳;虛擬機動態(tài)遷移的關(guān)鍵問題研究[D];吉林大學(xué);2013年

4 陳華才;虛擬化環(huán)境中計算效能優(yōu)化研究[D];華中科技大學(xué);2011年

5 AHMED ELSAYED SALLAM;[D];湖南大學(xué);2013年

6 唐遇星;面向動態(tài)二進制翻譯的動態(tài)優(yōu)化和微處理器體系結(jié)構(gòu)支撐技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2005年

7 丁靖宇;面向企業(yè)虛擬私有云的虛擬專用網(wǎng)技術(shù)研究[D];東華大學(xué);2012年

8 黃道超;智慧云網(wǎng)絡(luò)動態(tài)資源適配關(guān)鍵技術(shù)研究[D];北京交通大學(xué);2013年

9 楊偉建;面向HDTV信源集成解碼芯片的軟硬件協(xié)同設(shè)計研究[D];浙江大學(xué);2001年

10 張雪松;軟件迷惑技術(shù)研究[D];吉林大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 邱華;用于工業(yè)自動化設(shè)備互聯(lián)的設(shè)備描述語言的定義和實現(xiàn)[D];華東師范大學(xué);2006年

2 褚亞銘;一個教學(xué)用微內(nèi)核操作系統(tǒng)的設(shè)計與實現(xiàn)[D];蘇州大學(xué);2005年

3 閆玉忠;串行程序并行化技術(shù)研究與一種新實現(xiàn)構(gòu)想[D];西南交通大學(xué);2003年

4 張凱龍;傳統(tǒng)OA的Linux中間件平臺移植技術(shù)及其實現(xiàn)[D];西北工業(yè)大學(xué);2003年

5 賈希強;嵌入式數(shù)字電視中間件技術(shù)研究與實現(xiàn)[D];西北工業(yè)大學(xué);2004年

6 李芳;數(shù)控系統(tǒng)中嵌入式PLC虛擬機的研究與開發(fā)[D];北京工業(yè)大學(xué);2005年

7 覃安;計算機代數(shù)系統(tǒng)的設(shè)計與實現(xiàn)[D];中國科學(xué)院研究生院（成都計算機應(yīng)用研究所）;2006年

8 陸曉雯;虛擬機資源監(jiān)測調(diào)整機制研究[D];華中科技大學(xué);2008年

9 吳俊;基于RISC結(jié)構(gòu)的ASIP設(shè)計[D];浙江大學(xué);2002年

10 楊敏華;Java AWT的分析與實現(xiàn)[D];西北工業(yè)大學(xué);2005年

，

本文編號：1448898