一种远程缓冲区溢出漏洞检测模型及系统实现.pdfVIP

维普资讯 计算机科学2008Vo1．35No．6 一 种远程缓冲区溢出漏洞检测模型及系统实现 许俊杰 蔡皖东 (西北工业大学计算机学院 西安710072) 摘 要 操作系统和应用软件中的潜在远程缓冲区溢出漏洞是信息系统面临的最严重安全威胁之一。检测软件中潜 在的远程缓冲区溢出漏洞对于提高信息系统安全性具有重要的意义。本文采用面向二进制代码的动态分析方法，提 出了基于错误注入技术的远程缓冲区溢出漏洞检测模型，介绍了系统结构和模块功能，详述了系统中关键技术，给出 了系统测试结果。 关键词 错误注入 ，缓冲区溢 出，漏洞检测 A ModelforDetectingRemoteBufferOverflow VulnerabilitiesanditsImplementation XUJu叫ie CAIWan-dong (CollegeofCo mputerScience，NorthwesternPolyteehniealUniversity，Xi’an710072，China) Abstrdct Remotebufferoverflow vulnerabilitiesexistinginoperatingsystem andapplicationsoftwareconstituteoneof themostserioussecuritythreattowardscomputernetworkand informationonit．DetectingpotentialremotebufferO— verflow vulnerabilitiesinsoftwaresisofgreatsignificancytotheimprovementofinformationsystem security．Thispa— peradoptsamethodofbinary-codeorienteddynamicalanalysis，introducesaSW IFIbasedmodelfordetectingremote bufferoverflow vulnerabilities，explainsthesystem structureand modulefunctionality，dilatesonthekeytechnologies employde and showstheresultofthesystem test． Keywords Faultinjection，Bufferoverflow，Vulnerabilitydetection 1 引言 2 缓冲区溢出漏洞检测技术研究现状 随着计算机网络技术的高速发展，人们的生产生活对网 国内外对缓冲区溢出检测技术进行了大量的研究工作。 络的依赖程度越来越高。与此同时，网络犯罪活动也越来越 从检测方法上，可以分成基于源代码的静态检测、基于源代码 猖獗。存在于操作系统和应用软件中的远程缓冲区溢出漏洞 的动态检测、基于 目标代码的静态检测和基于 目标代码的动 为网络攻击者大开了方便之门。 态检测等。 缓冲区溢出漏洞是一种软件 中边界条件、函数指针等设 基于源代码的静态检测技术通过对源代码的扫描和分 计不当造成的地址空间错误。攻击者通过向一个有限空间的 析，对软件漏洞发生的模式进行识别，进而实现对缓冲区溢出 缓冲区中拷贝过长的字符串达到运行恶意代码的目的 ]。缓 漏洞的检测l5]。这种检测技术的局限性在于误报率较高而且 冲区溢出漏洞普遍存在于包括Windows、Unix、Linux、Solaris 需要提供源代码 ，而大量的商业软件或共享软件都不提供源 代码。 和MacOS在内的各种主