[发明专利]一种基于相似性匹配恶意shellcode快速检测方法

说明书

技术领域

本发明涉及一种结合了传统的动态检测技术和静态检测技术优点的基于相似性匹配恶意shellcode快速检测方法。

背景技术

随着网络和计算机技术的飞速发展和进步，计算机在我们日常生活的各个方面扮演者越来越重要的角色，但是也带来了很多无法避免的安全问题。其中，网络恶意攻击和计算机木马病毒成为当前计算机安全的主要威胁。由于计算机本身结构的缺陷以及当前许多软件开发都是使用C/C++语言实现，而C/C++语言作为高级开发语言，本身具有很高的灵活性，这使得在开发操作系统和应用软件过程中产生了很多的安全漏洞。因此，一些非法份子可以通过网络以及病毒木马，利用这些漏洞直接或者间接的获得计算机系统的部分操作权限，甚至得到管理员权限，严重的威胁着计算机系统的安全。

从安全防护软件提供商提供的数据可知，利用缓冲区溢出漏洞是最容易实施攻击的入侵方式。漏洞只是攻击的靶标，而具体实施攻击的是恶意代码Shellcode，即实施攻击的真正攻击载荷。

现在主要有两种解决方案用于检测Shellcode，即静态特征匹配和动态模拟执行。然而，随着多态编码技术的发展，使得恶意代码Shellcode可以轻松的隐藏自身所包含的的组成特征，从而躲避检测系统的检测。因此，静态和动态两种检测技术方案对多态编码处理后的Shellcode的检测效果并不理想，并且对于普通类型的检测存在较高的误报和漏报率。

静态检测技术主要是通过对恶意代码Shellcode的组成结构进行分析，从而提取出Shellcode的组成特征代码。然后，对待检测数据进行特征匹配来判断是否存在攻击行为。基于特征匹配的静态检测技术广泛应用于安全防护软件中。静态检测技术具有检测高效、部署快捷等特点，适用于对网络数据进行检测。

动态检测技术是通过对检测数据进行虚拟执行，解析出数据中包含的指令，并对指令进行模拟执行。从而详细的了解恶意代码Shellcode入侵过程中的操作行为。相比较于静态检测技术，动态检测技术可以获得详细的检测信息，并且检测结果更加精确。检测准确和较低的误报和漏报率，以及详细的检测报告，使得动态检测技术广泛的应用于Snort、BASE等入侵检测系统以及蜜罐中。

前互联网的发展十分迅速，在减少用户的手动操作，增强用户体验的同时，加强用户的隐私保护也显得至关重要。一些非法份子通过网络以及病毒木马，利用这些漏洞直接或者间接的获得计算机系统的部分操作权限，甚至得到管理员权限，严重的威胁着计算机系统的安全。因此对于恶意木马程序的检测显得十分重要。其次，样本库样本数量的问题需要解决，只含有常见的攻击样本，因此容易造成很高的漏报事件。并且这种检测技术对于现在的使用分段技术编写的代码是无效的，假如有人把完整的代码分段加入数据包中，那么便可以躲过查杀。

发明内容

本发明的目的在于提供一种可用于检测出那些利用缓冲区溢出漏洞进行攻击的恶意Shellcode代码；在提高检测准确性、降低误报漏报率的同时具有较快的检测速率的基于相似性匹配恶意shellcode快速检测方法。

本发明的目的是这样实现的：

步骤1：当对待测数据进行检测时，对待测数据进行判断，确定是否存在可疑的GetPC以及call、jmp、fnstenv浮点操作指令；根据判定结果，如果存在可疑的指令，则使用编码处理，并确定使用解码器的开始模拟执行检测位置，进入步骤2；

步骤2：在步骤1确定的起始检测位置，调用解码器进行模拟执行检测，查找待测数据中是否存在循环解码指令序列和内存多次访问操作；使用开源Shellcode检测库libemu来模拟执行待测数据，作为检测方法的解码器构成部分；根据检测结果进行判断，如果不存在解码指令，则进入步骤3，如果存在解码指令直接进入步骤4；

步骤3：使用Shingle算法对待测数据和样本库进行模拟检测，将检测结果生成Jaccard相似度系数R；根据此系数来决定是否执行下一步操作，如果R大于阈值40％，直接进入步骤4；否则结束检测流程；

步骤4：相似度系数大于阈值40％，即可判定待测数据中存在恶意Shellcode攻击行为，提出预警。

本发明的有益效果在于：