计算机研究与发展
計算機研究與髮展
계산궤연구여발전
JOURNAL OF COMPUTER RESEARCH AND DEVELOPMENT
2014年
8期
1704-1714
,共11页
罗杨%夏春和%李亚卓%魏昭%梁晓艳
囉楊%夏春和%李亞卓%魏昭%樑曉豔
라양%하춘화%리아탁%위소%량효염
多态Shellcode%GetPC定位%指令识别%虚拟机%控制流模式%数据流模式%Define-Use链
多態Shellcode%GetPC定位%指令識彆%虛擬機%控製流模式%數據流模式%Define-Use鏈
다태Shellcode%GetPC정위%지령식별%허의궤%공제류모식%수거류모식%Define-Use련
polymorphic shellcode%GetPC location%instruction recognition%virtual machine%control-flow mode (CFM)%data-flow mode (DFM)%Define-Use chain
近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.
近年來,Shellcode攻擊通常利用多態技術進行自我加密來繞過網絡層設備的檢測,而現有檢測方法無法區分多態Shellcode與加殼保護代碼.提齣瞭一種基于雙模式虛擬機的多態Shellcode檢測方法,該方法改進瞭現有的GetPC定位機製,實現瞭Shellcode的初步定位,通過IA-32指令識彆對網絡流量的進行進一步過濾,利用有限自動機及其判彆條件實現虛擬機控製流模式和數據流模式之間的切換,併通過結閤現有的特徵匹配技術實現對多層加密的多態Shellcode的檢測.實驗結果錶明,針對大量真實的網絡數據,該方法在保證高檢測召迴率的同時,能夠實現對多態Shellcode與加殼保護軟件的有效區分,避免瞭對正常流量的誤報行為,併且時間開銷介于靜態分析與動態模擬之間,為網絡層檢測多態Shellcode提供瞭一種有效方法.
근년래,Shellcode공격통상이용다태기술진행자아가밀래요과망락층설비적검측,이현유검측방법무법구분다태Shellcode여가각보호대마.제출료일충기우쌍모식허의궤적다태Shellcode검측방법,해방법개진료현유적GetPC정위궤제,실현료Shellcode적초보정위,통과IA-32지령식별대망락류량적진행진일보과려,이용유한자동궤급기판별조건실현허의궤공제류모식화수거류모식지간적절환,병통과결합현유적특정필배기술실현대다층가밀적다태Shellcode적검측.실험결과표명,침대대량진실적망락수거,해방법재보증고검측소회솔적동시,능구실현대다태Shellcode여가각보호연건적유효구분,피면료대정상류량적오보행위,병차시간개소개우정태분석여동태모의지간,위망락층검측다태Shellcode제공료일충유효방법.