期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到6篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
Dynamic emulation based modeling and detection of polymorphic shellcode at the network level 被引量:3
1
作者 WANG LanJia DUAN HaiXin LI Xing 《Science in China(Series F)》 2008年第11期1883-1897,共15页
It is a promising way to detect polymorphic shellcode using emulation method. However, previous emulation-based approaches are limited in their performance and resilience against evasions. A new enhanced emulation-bas... It is a promising way to detect polymorphic shellcode using emulation method. However, previous emulation-based approaches are limited in their performance and resilience against evasions. A new enhanced emulation-based detection approach is proposed, including an automaton-based model of the dynamic behavior of polymorphic shellcode and a detection algorithm, the detection criterion of which is derived from that model and ensures high detection accuracy. The algorithm also contains several optimization techniques, highly improving the running performance and the resilience against detection evasion shellcode. We have implemented a prototype system for our approach. The advantages of our algorithm are validated by the experiments with real network data, polymorphic shellcode samples generated by available polymorphic engines and hand-crafted detection evasion shellcode. 展开更多
关键词 polymorphic shellcode intrusion detection CPU emulation
原文传递
基于动态模拟的多态Shellcode检测系统 被引量:2
2
作者 王兰佳 段海新 李星 《计算机工程》 CAS CSCD 北大核心 2008年第13期7-9,共3页
通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3GB实际... 通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3GB实际网络数据和11000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。 展开更多
关键词 多态shellcode 动态模拟 入侵检测
下载PDF
一种基于双模式虚拟机的多态Shellcode检测方法 被引量:1
3
作者 罗杨 夏春和 +2 位作者 李亚卓 魏昭 梁晓艳 《计算机研究与发展》 EI CSCD 北大核心 2014年第8期1704-1714,共11页
近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcod... 近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法. 展开更多
关键词 多态shellcode GetPC定位 指令识别 虚拟机 控制流模式 数据流模式 Define-Use链
下载PDF
多态shellcode检测方法研究
4
作者 曹文鹏 苏旸 《计算机应用研究》 CSCD 北大核心 2015年第9期2816-2819,共4页
在以往的多态shellcode检测方法中,基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标,但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率,在已有的基于... 在以往的多态shellcode检测方法中,基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标,但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率,在已有的基于模拟的动态检测方法基础上进行了改进,引入了shellcode行为模式匹配机制,按照条件将多态shellcode解码后的行为与常见的攻击行为模式进行匹配,以判断并定位有效负载的位置。最后借助于Libemu系统对上述方法进行了实现和测试,从Metasploit和Nepenthes中提取shellcode样本,并使用编码器生成多态样本,从检测率和误报率两方面对方法进行了检验,实验证明了该方法有更高的有效性与稳定性。 展开更多
关键词 多态shellcode 动态模拟 行为模式匹配
下载PDF
多态shellcode动态检测与特征提取
5
作者 张钢岭 何聚厚 《郑州轻工业学院学报(自然科学版)》 CAS 2010年第4期67-70,共4页
提出了多态shellcode动态检测和特征提取模型:基于模拟执行和动态检测技术,可以有效发现多态shellcode变种和未知攻击方式并生成特征码;基于模拟执行网络代码并以GetPC code和循环解密操作作为行为特征检测网络数据流,对相似可疑数据流... 提出了多态shellcode动态检测和特征提取模型:基于模拟执行和动态检测技术,可以有效发现多态shellcode变种和未知攻击方式并生成特征码;基于模拟执行网络代码并以GetPC code和循环解密操作作为行为特征检测网络数据流,对相似可疑数据流进行聚类并提取字节序列特征.实验结果验证了该模型的可行性和有效性. 展开更多
关键词 多态shellcode 模拟执行 入侵检测 特征提取
下载PDF
突破防护措施的shellcode技术研究 被引量:1
6
作者 江亮 王永杰 +1 位作者 鲜明 肖顺平 《计算机应用研究》 CSCD 北大核心 2007年第11期146-149,共4页
缓冲区溢出漏洞是软件系统中存在的最普遍的安全漏洞之一。各种防护措施大大增加了缓冲区溢出攻击利用的难度,但是它们没有从根本上解决问题,攻击者利用各种手段仍可使攻击成功。从攻击者的角度出发,总结了近年来缓冲区溢出漏洞攻击利... 缓冲区溢出漏洞是软件系统中存在的最普遍的安全漏洞之一。各种防护措施大大增加了缓冲区溢出攻击利用的难度,但是它们没有从根本上解决问题,攻击者利用各种手段仍可使攻击成功。从攻击者的角度出发,总结了近年来缓冲区溢出漏洞攻击利用技术发展的情况,主要对溢出后突破防护措施的shellcode技术进行了详细介绍和分析。 展开更多
关键词 缓冲区溢出 净荷 多态外壳码 堆栈保护
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
使用帮助 返回顶部