动静结合的攻击代码检测方法

缓冲区溢出攻击是近年来最主要的安全问题之一，攻击者利用缓冲区溢出漏洞执行远程代码，从而达到攻击的目的。shelleode作为攻击的载体，是缓冲区攻击检测的主要对象。随着检测技术的发展，攻击者更倾向于使用多态技术对shellcode进行加密来绕过ids的检测。针对mswindows操作系统下的shellcode，提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义，既使用动态模拟技术提高了对使用多态技术的shellcode的检侧率，也兼顾了检测的效率。基于该方法，设计和实现了一套原型系统，并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明，该系统在检测shellcode的准确率和性能方面都达到了令人满意的效果。