嵌入式网络安全设备的抗缓冲区溢出攻击机制-中国信息安全测评中心.pptVIP

嵌入式网络安全设备的抗缓冲区溢出攻击机制 杜皎，荆继武，李国辉 中国科学院研究生院 信息安全国家重点实验室 国防科技大学 信息系统与管理学院 缓冲区溢出攻击的危害 最常见－－缓冲区溢出攻击种类多 影响范围最大－－缓冲区溢出的缺陷普遍存在 危害极其严重－－甚至控制主机 缓冲区溢出攻击的原理 缓冲区溢出攻击向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。 根本原因是使用c和c++语言 摧毁堆栈攻击 （stack smashing attack） 函数指针攻击（function pointer attack） 如何抗缓冲区溢出攻击 编写正确的代码 缓冲区不可执行 边界检查 指针完整性检查 嵌入式网络安全设备 对嵌入式网络安全设备的需要 嵌入式网络安全设备的特点 底层服务简洁，高效 系统底层服务结构 系　统　目　标 提供可定制的网络安全设备，开发人员可以容易地配置完成自己所需要的功能； 整个系统不依赖现有的操作系统而建立，避免系统沿袭操作系统的固有漏洞。设备底层服务与应用所需功能融合在一起，硬件直接为上层应用提供最直接的抽象，使得系统开销降到最低； 为应用提供基于硬件的多重级别的保护； 建立自上而下，完善有效的机制对抗缓冲区溢出攻击。 整　体　结　构 本系统的抗缓冲区溢出攻击机制 多层