基于调用栈完整性的缓冲区溢出检测方法.pdfVIP

基于调用栈完整性的缓冲区溢出检测方法 周 宇 (北京航空航天大学 计算机学院 ，北京 100191) 摘 要 ：缓冲区溢出漏洞是影响系统安全性的严重问题，而对于该问题的检测也 已展开了大量而深入的研究。基于调用栈完整 性 (CSI)的检测方法不同于 目前已有的各种检测技术。CSI利用通用的完整性规则，在保持对于应用程序完全透明的情况下，基 于调用栈完成缓冲区溢出的检测。通过对于Linux内核中所实现的CSI原型 系统的测试表明，该方法可以在较低的性能损失下有 效地识别包括基于 shellcode的传统攻击，以及 returnintolibc在 内的高级攻击技术，其检测强度高于现有的各种检测方法。 关键词 ：系统安全；缓冲区溢出；调用栈；系统调用；入侵检测 Call-Stack Integrity based BufferOverflow Detection Method ZHOU Yu (DepartmentofCompute／Sci@T／C~,#ek／angUniversity,酞灏g1001@1．Uhln4) Abstract：Buffer overflow isoneof themostthreatsto the system security，anda strong emphasishasbeen laid on theresearch of detection method ． Call-StackIntegrity (CSI)baseddetectionmethodisdifferentfromanyexistingdetectiontechnology．CSIperformsthetaskofbuffer overflow detectionusing generalcall--stack integrity rules．whoseimplementation istransparentt0 existing application．ThetestonCSIprototype system． implemented inLfnux kernej．indicates that the method itself isefficient with Iow overhead caused and is effective t0 detect various bufferoverflow attack．，including shellcodebasedattack andmore advancedattack，such asreturn into libc．Hence，thedetection ability ofCSI isbetterthanotherknowndetectionmethods． Key words：system security；bufferoverflow；callstack；system call；intrusion detection 基于上下文信息的攻击检测具有一定的优势 ，但 目前 1引言 的工作在性能以及实现 的复杂度上依旧存在缺陷。本文在 缓冲区溢出是计算机领域一种严重的安全威胁。传统 上下文信息的分析与提取上进行进一步的研究，并针对 目 的攻击方法 …通过溢出缓冲区来更改堆栈上保存的返回地 前内核层面的缓冲区溢 出检测技术在检测广度以及准确度 址，使攻击者获得在应用程序权限下执行任意代码的能力。 上的缺陷，提出了在权限提升条件下 以系统调用的调用栈 有大量研究致力于缓冲区溢出攻击的预防和检测 ，但基于 完整性 (CallStack Integrity，CSI)为基础的检测方法， 这些研究的技术在面对新的攻击手段 (指针攻击，return