Windows网络下的RPC攻击检测方法研究.pdf

生塞摘要 中文摘要 近年来，随着互联网的迅猛发展，针对网络协议的攻击行为越来越多，网络本 身的安全性问题日渐突出，成为重要的研究课题。众所周知，在诸多网络攻击中， 由Windows系统中的I心C漏洞攻击带来的损失是非常巨大的，之所以这么说是因 为Windows操作系统所占的市场份额很重，以至于一旦出现此类攻击就会迅速传 播并对相当广泛的范围产生影响!本论文以windows的RPc漏洞攻击检测方法作 为研究对象，具有很大的理论和现实意义。 本文首先论述了关于RPC漏洞攻击的相关知识：RPC通信机制、蠕虫原理、 缓冲区溢出以及攻击特征码规则的建立，为整个系统的设计提供一个理论基础， 然后在仔细研究windows所严重依赖的DcE／】妞c协议的机制的基础之上，突破 当前协议分析的主要方法停留在对网络层和传输层协议进行分析的局限，引入应 用层协议sMB协议解码，并提出统一RPc协议数据提取平台的概念，来消除 DCE／RPc协议本身固有的多协议序列的差异性，为RPc协议数据的提取和检测带来 了非常大的便利。 关键词：协议分析特征匹配远程过程调用检测规则描述缓冲区溢出攻击 ABSTRACT htlle few tl】e ofthe mo坤 devd叩memhlt烈n鸭more锄d past y∞rs，witllrapid ofthene呐orl【h嬲becomeareal at协oks∞nct啪Il【protocoIs锄ergc，the删t)r howto of 哪bl锄，蚰d at蛔molLAsweallhIow．thea仕ackont1他WindowsRPCvulllembiliti韶istlleoneof tllenlostdelcte^ous埘嚏worl【attacI【s oonsiderablelo鹳．Tbbemo坞 wtlich咖briIlg up be WindowsoS shouldmemoStnotorio啪o∞．Bcca璐e 麟actit platfo衄isholdillg oftllePCsallov盯meworldnlIl themostoftllemarkctsh瓣，iIIlheotll盯wofd，most Windows attalckoftIliskind inme itwill oS!So，oIlce也e∞is appc鲥ngne咐ork methodof itsiIln咖∞嘶ll too!hltllis choose spr％d触趾d bc缸印ing p印％I to I much WilldowsRPCattackdctecti∞鹪the objectshldy’锄dsupp0∞t11e佗is Ⅱlcofctical纽d inth北 pmcticalm黜illg hl血is rel“antwitlla仕ack傩