基于异常控制流识别的漏洞利用攻击检测方法

TP399; 为应对APT等漏洞利用攻击的问题,提出了一种基于异常控制流识别的漏洞利用攻击检测方法.该方法通过对目标程序的静态分析和动态执行监测,构建完整的安全执行轮廓,并限定控制流转移的合法目标,在函数调用、函数返回和跳转进行控制流转移时,检查目标地址的合法性,将异常控制流转移判定为漏洞攻击,并捕获完整的攻击步骤.实验结果表明,该方法能够准确检测到漏洞利用攻击,并具备良好的运行效率,可以作为漏洞利用攻击的实时检测方案....

Full description

Saved in:
Bibliographic Details
Published in通信学报 Vol. 35; no. 9; pp. 20 - 31
Main Authors 王明华, 应凌云, 冯登国
Format Journal Article
LanguageChinese
Published 中国科学院软件研究所可信计算与信息保障实验室,北京100190 2014
中国科学院大学,北京100049%中国科学院软件研究所可信计算与信息保障实验室,北京,100190
Subjects
数据执行保护
地址随机化
attack detection
software vulnerability
address space layout randomization
data execution protection
exploit
漏洞利用
攻击检测
软件漏洞
Online AccessGet full text
ISSN1000-436X
DOI10.3969/j.issn.1000-436x.2014.09.003

Cover

More Information
Summary:TP399; 为应对APT等漏洞利用攻击的问题,提出了一种基于异常控制流识别的漏洞利用攻击检测方法.该方法通过对目标程序的静态分析和动态执行监测,构建完整的安全执行轮廓,并限定控制流转移的合法目标,在函数调用、函数返回和跳转进行控制流转移时,检查目标地址的合法性,将异常控制流转移判定为漏洞攻击,并捕获完整的攻击步骤.实验结果表明,该方法能够准确检测到漏洞利用攻击,并具备良好的运行效率,可以作为漏洞利用攻击的实时检测方案.
ISSN:1000-436X
DOI:10.3969/j.issn.1000-436x.2014.09.003