第四章 Web浏览器缓冲区溢出攻击检测技术.pdfVIP

计算机系统应用 2009年第8期 We b浏览器缓冲区溢出攻击检测技术① BufferOverflowAttackDetection WebBrowser．—Based 1 李晓桢 戈 戟 徐良华 (江南计算技术研究所江苏无锡24083) 摘要： 通过Web浏览器访问网页已经成为人们最重要的访问互联网的方式，但是浏览器中存在的缓冲区安 全漏洞给用户的系统安全带来很大的威胁。基于浏览器的缓冲区溢出攻击有自身的特点，传统的入侵 检测系统无法检测到它的攻击数据。分析了基于Web浏览器的缓冲区溢出攻击的特点，提出了对其进 行检测的算法，并实现了一个原型系统。 关键词：Web浏览器缓冲区溢出攻击代码检测Javascript脚本信息安全 1 引言 入在HTML文档中的攻击代码的检测方法，在此基础 通过Web浏览器访问网页已经成为人们最重要 上实现了一个原型系统。 的访问互联网的方式，根据统计，全球一半以上的互 联网流量属于Web访问流量。但是Web浏览器(如 2相关研究 MicrosoftInternet 入侵检测系统Snort[6]已经加入了对缓冲区溢出 Explorer)以及第三方ActiveX控 件中存在着危害很大的缓冲区溢出安全漏洞【1-21，给用 攻击数据的检测。由于缓冲区溢出攻击数据中常包含 户的系统安全带来极大的隐患。 一个“填充字段”，由NOP指令(在IA32指令集中指 利用WEB浏览器或ActiveX控件中存在的缓冲区 溢出漏洞，攻击者构造一个恶意的网页(可能以 一个规则：如果一段数据中包含的0x90字节个数超 HTML、ASP、JSP、ASPX、PHP等为扩展名，以下简过一定的闫值，则判定这段数据中包含攻击代码。由 称HTML文档)诱骗用户访问，当用户访问这个网页后于可以采用其他指令来代替NOP指令构造填充字段， 就会触发缓冲区溢出漏洞，执行攻击者嵌入在网页中 因此Snort的这条规则很容易被绕过。 的恶意代码，造成计算机系统被攻击者控制。 STRIDE[7]同样检测一段数据中是否包含填充字 针对缓冲区溢出攻击，已经出现了多种防护技 段，依据的特征是，从填充字段中任意的位置开始都 术，如返回地址保护I31、数据执行保护【4】、地址空间 可以反汇编出有意义的指令流到实际的攻击代码。如 随机化【s】等，这些技术在一定程度上降低了缓冲区溢 果反汇编经过的字节数超过一定的阈值，则认为这段 出攻击带来的威胁，但是由于部署难度和开销等原 数据中包含攻击代码。STRIDE对填充字段的误报较 因，这些技术并没有得到广泛应用。 少，可以检测出单字节、多字节甚至带跳转的填充字 由于Web浏览器缓冲区溢出攻击的攻击代码包 段，是一种较好的检测带填充字段的攻击代码的方法。 含在浏览器访问的网页中，因此可以对网页的内容进 但是对于不需要填充字段的攻击代码，STRIDE无法检 行分析，检测其中是否包含恶意代码，阻止恶意代码 测。HTML文档中的攻击代码虽然常使用填充字段来 的执行，实现对这类攻击的防护。 触发漏洞，但是这样的填充字段常用javascript构造， 本文研究分析了嵌入在HTML文档中攻击代码的在文档的传输过程中并没有表现出填充字段的特征， 特点，结合通用的攻击代码的检测技术，提出了对嵌 Z43 ①基金项目：国家高技术研究发展计划(863)(2006AA011) 2一06 收稿时间：2008—1 148应用技术AppliedTechnique 万方数据 2009年第8期