%0 Journal Article
%T 动静结合的攻击代码检测方法
%A 赵帅
%A 丁保贞
%A 沈备军
%A 林九川？
%J 计算机科学
%D 2011
%X 缓冲区溢出攻击是近年来最主要的安全问题之一，攻击者利用缓冲区溢出漏洞执行远程代码，从而达到攻击的目的。shelleode作为攻击的载体，是缓冲区攻击检测的主要对象。随着检测技术的发展，攻击者更倾向于使用多态技术对shellcode进行加密来绕过ids的检测。针对mswindows操作系统下的shellcode，提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义，既使用动态模拟技术提高了对使用多态技术的shellcode的检侧率，也兼顾了检测的效率。基于该方法，设计和实现了一套原型系统，并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明，该系统在检测shellcode的准确率和性能方面都达到了令人满意的效果。
%K shellcode
%K 静态分析
%K 动态执行
%U http://www.jsjkx.com/jsjkx/ch/reader/view_abstract.aspx?file_no=111228&flag=1