检索结果-内蒙古大学图书馆

华中科技大学学报（自然科学版） 2014年第11期42卷 39-46页

作者：梁玉傅建明彭国军彭碧琛武汉大学计算机学院湖北武汉430072 武汉大学空天信息安全与可信计算教育部重点实验室湖北武汉430072 中国证券登记结算有限责任公司广东深圳518031

根据shellcode的API函数及系统调用对栈帧的影响,定义了EBP异常、Ret异常和长度异常,并在此基础上提出了基于栈异常的shellcode检测方法——S-Tracker.该方法遍历特定敏感API函数的栈帧链、检测异常、定位漏洞函数和shellcode代码,并采... 详细信息

根据shellcode的API函数及系统调用对栈帧的影响,定义了EBP异常、Ret异常和长度异常,并在此基础上提出了基于栈异常的shellcode检测方法——S-Tracker.该方法遍历特定敏感API函数的栈帧链、检测异常、定位漏洞函数和shellcode代码,并采用栈帧重构解决了栈帧中的EBP缺失或破坏的问题.实验结果表明:S-Tracker能有效检测到基于普通shellcode、混合型shellcode以及纯ROP shellcode的攻击行为,具备追踪shellcode分布区域和EIP跳转函数的功能,且其性能开销较小、没有误报;与微软EMET工具相比,STracker在内核层实现,更加难以被攻击者绕过.

关键词：软件安全 shellcode检测栈帧遍历栈异常 ROP攻击

来源：评论

学校读者我要写书评

暂无评论

一种超椭球免疫理论启发的shellcode检测算法

引用

小型微型计算机系统 2018年第6期39卷 1255-1259页

作者：芦天亮张璐蔡满春杜彦辉刘颖卿中国人民公安大学网络空间安全与法治协同创新中心北京100038 中国人民公安大学信息技术与网络安全学院北京100038 中国移动通信有限公司研究院北京100053

为了解决特征码匹配技术对于未知或多态shellcode检测效率较低的问题,提出一种基于人工免疫系统的shellcode检测算法AIS-SDA.提取shellcode的静态和动态特征,通过反汇编获得汇编指令序列,通过模拟执行获得API函数调用序列,基于n-gram模... 详细信息

为了解决特征码匹配技术对于未知或多态shellcode检测效率较低的问题,提出一种基于人工免疫系统的shellcode检测算法AIS-SDA.提取shellcode的静态和动态特征,通过反汇编获得汇编指令序列,通过模拟执行获得API函数调用序列,基于n-gram模型编码生成抗原.利用超椭球对免疫检测器编码提高非我空间覆盖率,检测器经历阴性选择算法的免疫耐受后成熟.对成熟检测器克隆和遗传变异,运用超椭球改变朝向、迁移中心和伸缩半轴等手段实现检测器的优化,生成更加优秀的抗体后代.最后,对收集的shellcode样本进行实验验证,结果表明,该方法对非编码和多态shellcode均具有较高的检测准确率.

关键词：人工免疫 shellcode检测超椭球遗传算法

来源：评论

学校读者我要写书评

暂无评论

基于人工免疫理论的shellcode检测方法

引用

计算机应用研究 2018年第8期35卷 2409-2411,2416页

作者：芦天亮蔡满春高见中国人民公安大学信息技术与网络安全学院北京100038 中国人民公安大学网络空间安全与法治协同创新中心北京100038

shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编... 详细信息

shellcode是缓冲区溢出漏洞攻击的核心代码部分,往往嵌入到文件和网络流量载体中。针对特征码匹配等检测手段存在时间滞后、准确率低等问题,结合人工免疫理论,提出一种采用实值编码的shellcode检测方法。收集shellcode样本并进行反汇编,利用n-gram模型对汇编指令序列提取特征生成抗原,作为免疫系统未成熟检测器来源,之后经历阴性选择算法的免疫耐受过程生成成熟检测器。对检测器进行克隆和变异,繁衍出更加优良的后代,提高检测器的多样性和亲和度。实验结果表明,该方法对非编码shellcode和多态shellcode均具有较高的检测准确率。

关键词：人工免疫系统 shellcode检测阴性选择算法克隆选择算法

来源：评论

学校读者我要写书评

暂无评论

一个基于Libemu的shellcode检测系统的设计与实现

一个基于Libemu的shellcode检测系统的设计与实现

引用

作者：侯永干北京大学

学位级别：硕士

shellcode通常是指可以在执行后获取机器shell的一段代码，但是这个名称并不是十分准确，因为现在的shellcode的目的不仅仅是获得目标机器的shell。通常在堆栈溢出攻击过程中，执行shellcode获得目标机器的控制权是必不可少的一步，因... 详细信息

shellcode通常是指可以在执行后获取机器shell的一段代码，但是这个名称并不是十分准确，因为现在的shellcode的目的不仅仅是获得目标机器的shell。通常在堆栈溢出攻击过程中，执行shellcode获得目标机器的控制权是必不可少的一步，因此针对shellcode检测的工作在网络防护中显得至关重要。\n 随着网络攻击技术的发展，越来越多的黑客使用shellcode变形（metamorphism）和多态(polymorphism)技术来规避网络防护系统，一些常规的方法是通过提取shellcode静态特性或者shellcode指纹进行检测，但已经不能完全适应如今多变的网络环境。\n 本文围绕shellcode检测问题进行分析研究，提出并实现了一种基于动态模拟和机器学习(Support Vector Machine)的检测算法。首先，本系统采用的模拟执行与机器学习相结合的方法，使得本系统可以不依赖于shellcode的特定特征，检测范围更广且准确率更高。其次，在实验过程中生成和获得的大量的shellcode数据，确保了实验数据的广泛性和实验结果的可靠性。再次，对系统模拟器性能上的改进，使得本系统可以检测其它动态shellcode检测算法无法检测的硬编码地址shellcode。\n 本系统跟流行的shellcode检测库libemu进行了对比实验，实验结果证明本系统采用的检测手段具有更强抗混淆能力和更高的检测效率，并且具有更广的检测范围。最后，在实际的应用中本系统也显示出了其在恶意代码检测方面的优异性能，并且具备跟其它检测工具协同工作的能力。

关键词：网络攻击 shellcode检测恶意代码检测多态技术动态模拟机器学习

来源：评论

学校读者我要写书评

暂无评论

基于网络数据流的shellcode检测与定位技术研究

基于网络数据流的Shellcode检测与定位技术研究

引用

作者：宋宇国防科技大学

学位级别：硕士

随着互联网的高速发展,网络服务和应用已经融入到社会的各个方面。然而网络入侵与破坏事件层出不穷,网络安全不仅是每一位网络用户关心的话题,甚至已经成为国家战略的新型力量支撑。面对日益严峻的网络环境,网络入侵检测技术备受关注。... 详细信息

随着互联网的高速发展,网络服务和应用已经融入到社会的各个方面。然而网络入侵与破坏事件层出不穷,网络安全不仅是每一位网络用户关心的话题,甚至已经成为国家战略的新型力量支撑。面对日益严峻的网络环境,网络入侵检测技术备受关注。入侵检测的一个重要方法是识别攻击代码,shellcode就是其中主要的一种,常被用于在漏洞利用中执行恶意功能,缓冲区溢出漏洞则是典型场景之一。到目前为止,已有多种用于检测shellcode的方法,两种主流的分析方法包括静态分析和仿真执行。然而现有的检测算法具有许多局限性,流行的仿真执行方法严重降低了效率,静态检测不能保证检测的准确性。而人工智能拥有极强的学习能力和泛化能力,已经被广泛地应用到各个研究领域,因此人工智能成为入侵检测的热点。本文具体的工作如下。本文提出了一种基于卷积神经网络的shellcode检测方法,与现有的基于仿真执行的方法相比具有可接受的检测速度和准确度。本文设计了多种探针,用于匹配关键字节序列以过滤良性数据并获得shellcode候选,然后卷积神经网络使用从shellcode片段提取的静态特征对候选进行分类。为提高检测性能,使用对齐的方式降低特征向量的空间维度,采取特殊的反汇编方式提取特征。除此之外,针对现阶段shellcode定位研究的不足,本文提出了一种基于寄存器模式分析的静态shellcode定位方法。shellcode指令在很大程度上依赖于上下文信息,因此该方法使用静态反汇编捕捉指令之间的关联。寄存器的使用体现了指令之间的关联性,本文设计了多条提取方案来捕获细粒度的寄存器使用方式,而后根据设计的恶意模式检测数据中是否存在可疑的代码逻辑。在上述的基础上,针对可选目标和数据需求,本文设计实现了一个从数据流中检测shellcode的原型检测系统。实验表明,本文检测方法在保证96.2%准确率的同时拥有极低的误报率,而本文的定位方法也拥有极大的潜力,与shellcode检测方法相结合会展现出更好的定位能力。同Libemu和SBE方法相比,本文方法有较高的效率并且能够检测更多种类的恶意代码,如朴素shellcode,加密shellcode等。

关键词：网络安全入侵检测 shellcode检测卷积神经网络静态分析

来源：评论

学校读者我要写书评

暂无评论

基于shellcode检测的恶意文档检测

基于shellcode检测的恶意文档检测

引用

第十九届全国青年通信学术年会

作者：白鹏胡影戴方芳北京邮电大学信息安全中心北京武警指挥学院

恶意文档在高级持续性威胁(Advanced Persistent Threat,APT)中发挥着重要作用,其检测技术在安全对抗中有重要意义。本文提出了一种基于shellcode检测的恶意文档检测技术,结合反汇编技术,设计并实现了相关检测模型。实验表明,本检测模... 详细信息

恶意文档在高级持续性威胁(Advanced Persistent Threat,APT)中发挥着重要作用,其检测技术在安全对抗中有重要意义。本文提出了一种基于shellcode检测的恶意文档检测技术,结合反汇编技术,设计并实现了相关检测模型。实验表明,本检测模型对恶意文档的检出率高、误报率低,并且具有一定的恶意文档ODay漏洞的检测能力。

关键词：恶意文档 shellcode检测反汇编

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：