-
题名基于诱捕的软件异常检测综述
被引量:2
- 1
-
-
作者
傅建明
刘畅
解梦飞
罗陈可
-
机构
空天信息安全与可信计算教育部重点实验室
武汉大学国家网络安全学院
-
出处
《网络与信息安全学报》
2022年第1期15-29,共15页
-
基金
国家自然科学基金(61972297,62172308,62172144)。
-
文摘
高级持续威胁(APT,advanced persistent threats)会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁。传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口。为此,以资源为诱饵的诱捕防御是确保网络安全的必要补充。诱捕机制包含诱饵设计和攻击检测两部分,通过感知与诱饵的交互行为,推断可能的未授权访问或者恶意攻击。针对文件、数据、代码3种诱饵类型,设计诱饵的自动构造方案并进行部署,从真实性、可检测性、诱惑性等方面对诱饵的有效程度进行度量。基于诱捕防御的勒索软件检测注重诱饵文件的部署位置,在漏洞检测领域,通过注入诱饵代码来检测代码复用攻击。介绍了在APT攻击各个阶段实施诱捕防御的相关研究工作,从诱饵类型、诱饵生成、诱饵部署、诱饵度量方面刻画了诱捕防御的机理;同时,剖析了诱捕防御在勒索软件检测、漏洞检测、Web安全方面的应用。针对现有的勒索软件检测研究在诱饵文件设计与部署方面的不足,提出了用于检测勒索软件的诱饵动态更新方法。讨论了诱捕防御面临的挑战,希望诱捕防御可以为发现未知攻击、溯源攻击意图提供理论和技术支持。
-
关键词
高级持续威胁
代码复用攻击
控制流完整性
地址随机化
诱捕防御
-
Keywords
advanced persistent threat
code reuse attack
control flow integrity
address randomization
deception defense
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
