基于代码执行模拟远程缓冲区攻击网络检测方法研究.pdfVIP

基于代码执行模拟的远程缓冲区攻击网络检测方法研究1 1 2 1 辛毅 方滨兴 云晓春 （1. 哈尔滨工业大学国家计算机科学与工程系，黑龙江哈尔滨150001; 2. 国家计算机网络与信息安全管理中心，北京100031） 摘 要： 随着Internet的飞速发展，Internet所面临的安全状况日益复杂。目前，缓冲区溢出攻击已经成 为了互联网的首要安全威胁之一，特别是网络蠕虫利用其进行攻击传播。所以，目前亟需缓冲区溢出的 网络检测方法。本文首先分析了缓冲区溢出攻击的原理和方法，提出了一种新通用的网络缓冲区溢出的 检测方法，此检测方法通过代码执行模拟来计算网络报文中含有的可执行代码序列的最大长度来进行缓 冲区溢出的网络检测。最后实验证明，该检测方法不仅能够快速有效的检测传统的远程缓冲区溢出的攻 击，而且还可以检测变形的shellcode 。 关键词：远程缓冲区溢出；蠕虫；网络检测；代码执行模拟；变形Shellcode; 中图分类号：TP393.08 文献标识码：