PDF《O S内存溢出攻击检测方法 س》

d ) 在污点属性的传播过程中, 动态地进行污点状态的记 录, 并基于定位的安全库函数的信息进行攻击行为的判定;

e ) 在判定 C i s c oI O S 受到恶意攻击之后, 就按照一定的格 式记录报警信息;

f ) 基于污点状态记录信息和报警记录信息, 综合分析定位 出攻击的来源.

3 ;

1'

(D -E 内存溢出攻击检测方法 近年来, 动态污点分析技术作为一种热门的二进制代码分 析技术, 已经在软件漏挖掘、 漏洞攻击检测、 协议格式逆向分析 以及恶意代码检测和信息安全认证等方面得到了广泛的应用. 一般来讲, 污点分析主要有污点引入( t a i n t s o u r c e ) 、 污点传播 ( t a i n t t r a n s l a t i o n ) 和污点误用检测( t a i n t s i n k ) 三个主要的组 件.在二进制的分析过程中, 一般是基于汇编指令来定义污点 传播规则, 在汇编指令的执行过程中进行污点信息的传播和记 录, 最后在 t a i n t s i n k 点进行相关的分析.

3 ! ;

1'

(D -E 动态污点分析技术

3

1

1 形式化描述 在进行 C i s c oI O S 的动态污点分析之前, 需要对相关定义 进行形式化的描述, 以方便读者理解.其主要包括污点标记、 污点属性、 数据包标志、 指令、 污点记录、 污点传播规则和攻击 检测规则等相关描述, 如下所示: T : = X →Y , X : = m e m| r e g , Y : = { ( P , Q ) | P ∈{ T r u e , F a l s e } , Q ∈{ i d

0 , i d

1 , i d

2 , …} } I n s : = ( t y p e , s r c _ o p , d s t _ o p ) T R : = 〈 I n s a d d , T i n f o , i d 〉 R u l e : =∨ n i =

1 ( T ( s r c _ o p i ) ) →d s t _ o p f u n c l i b= 〈 f n a m e , f a d d , p a r........