漏洞攻击检测评价机制研究.pdf

沈晓斌漏洞攻击检测与评价机制的研究 摘 要 操作系统与应用软件的安全问题一直是学术界和工业界的研究重点与热点。 如何防范与检测各种软件安全漏洞和恶意攻击则又是研究的重中之重。目前，研 究者对常见的漏洞类型和攻击方法的研究已经相当深入和透彻了，比如，缓冲区 溢出攻击，格式化字符串漏洞攻击等，也提出了许多相应的方法与工具。但是对 如何有效地，精确地防范与检测这些常见的漏洞，仍然没有一个“放之四海皆 准”的方法与工具。 同时，诸如整型漏洞攻击，ROP攻击等类似的新型漏洞攻击方法业已出现， 并逐渐逞上升趋势。对这些新型漏洞及针对其的攻击防范与检测的研究是目前国 内外软件安全领域的研究热点。也有研究者提出了一些针对这些新型漏洞的检测 与防范工具，但仍然具有局限性。 本文的主要工作主要体现在以下几个方面： (，1)我们对整型漏洞进行了详细的分类，对每一种漏洞类型都作了较为透彻的 分析。在充分研究了整型漏洞攻击特征的基础上，我们设计并实现了一种整型漏 类型信息。并且其采用的静态分析技术大大降低了动态运行时需要检测指令的数 量。实验结果表明IntFinder误报和漏报率都很低。 (2)针对ROP攻击，我们设计提出了一种检测ROP攻击的方法，并实现了相 应的工具DROP。实验表明，DROP在有效性和性能方面的表现都比较突出，漏 报和误报率低，能够有效的检测和防范ROP攻击。 ． f3)在软件安全应用的实际部署时，操作人员首先需要考虑的是究竟采用何种 漏洞防范与检测工具。所以对各种漏洞攻击检测与防范工具进行评估就显得尤为 重要。而且，目前无论是学术界还是工业界，这方面的研究工作比较少，没有一 种公认的评价标准，或者都认可的评估测试平台。在结合多年的漏洞攻击测试研 究的基础上，我们设计并实现了一种漏洞攻击测试平台。它能够对常见的漏洞攻 击检测工具进行评估，并给出详细的评测报告，以方便应用人员选择合适的漏洞 防范与检测工具。同时，我们也设计了一些评价的原则与标准，并给出了针对各 种漏洞类型的评测工具集，这给漏洞攻击防范与检测研究人员提供了很好的测试 与实现平台，而且也附加了对漏洞攻击检测与防范方法的评估。 关键词：软件安全：漏洞攻击； ROP攻击；攻击检测 沈晓斌漏洞攻击检测与评价机制的研究 III Abstract issueof and softwarehasbeen operating the 刀摇security systemapplication research andfocusofacademicand to anddetectall priorities industry．Howprevent kindsofsoftware vulnerabilitiesandmaliciousattacksiS anotherresearch security yet researchers ofthecommon andattack priority．Currently，the vulnerabilitytypes the is methodsof and overflow studyquitein—depththorough，for example，buffer