基于內(nèi)存搜索的shellcode的檢測系統(tǒng)及方法技術(shù)方案

本發(fā)明專利技術(shù)公開了一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng)，包括被檢測樣本調(diào)度模塊；內(nèi)存搜索算法模塊；shellcode檢測模塊和日志模塊。其檢測方法，包括以下步驟：調(diào)度模塊調(diào)度被測試應(yīng)用打開被檢測文檔樣本；內(nèi)存搜索算法模塊轉(zhuǎn)儲被測試應(yīng)用內(nèi)存至文件或者直接內(nèi)存搜索；Shellcode檢測模塊掃描轉(zhuǎn)儲的文件來發(fā)現(xiàn)shellcode；日志輸出模塊輸出有關(guān)shellcode信息。本發(fā)明專利技術(shù)具有以下積極進(jìn)步效果：本發(fā)明專利技術(shù)基于內(nèi)存搜索然后進(jìn)行shellcode檢測，能夠有效的檢測復(fù)雜的應(yīng)用文檔格式中編碼、加密藏匿的shellcode。大大的提高了惡意攻擊樣本的檢測率，見效誤報率和漏報率。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及網(wǎng)絡(luò)安全入侵檢測防御領(lǐng)域，具體是指一種基于內(nèi)存搜索的 shellcode的檢測系統(tǒng)及方法。
技術(shù)介紹
利用緩沖區(qū)溢出安全漏洞以及其他內(nèi)存內(nèi)存安全漏洞是進(jìn)行網(wǎng)絡(luò)攻擊、獲取系統(tǒng) 控制權(quán)的重要手段，因此，針對該類型漏洞攻擊的防御技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域研究的重要內(nèi)容。由于上述主要的漏洞攻擊中具體的功能實現(xiàn)必須要通過shellcode來完成，因此 攻擊者發(fā)生的漏洞載體數(shù)據(jù)中一定保護(hù)shellcode，當(dāng)前將檢測是否存在shellcode作為 判斷漏洞攻擊的主要手段。當(dāng)前主流的攻擊軟件載體主要是微軟office文檔、adobe pdf > adobe flash、ie browser等最流行的軟件。因此這些主流的文檔是漏洞攻擊的主要目標(biāo)，shellcode也主要 存在該類文檔中。目前常規(guī)的IDS/IPS/Anti AV網(wǎng)絡(luò)安全防御設(shè)備都是采用基于格式解析 從而檢測shellcode的技術(shù)，對于該類shellcode檢測都必須要先對具體的文檔格式進(jìn)行 解析，解析出原始的數(shù)據(jù)流之后，在進(jìn)行相應(yīng)的shellcode檢測。該類技術(shù)主要優(yōu)點在于可以部署在網(wǎng)關(guān)層，直接解析網(wǎng)絡(luò)數(shù)據(jù)包中相應(yīng)的文件格式，從而直接掃描 shellcode。速度快，在要求實時性網(wǎng)絡(luò)安全防御中具有較大的優(yōu)勢。同時該類技術(shù)存在相應(yīng)的缺點主流的文檔格式其中office、pdf、flash等文檔 格式，該類格式非常復(fù)雜，雖然office、pdf等格式已有公開的格式文檔說明，但是按照對 應(yīng)格式實現(xiàn)相應(yīng)的格式解析工具非常耗時、耗人力成本。同時這些公開的格式文檔只是提 供了該類文檔格式的標(biāo)準(zhǔn)規(guī)范，對于不按照此類標(biāo)準(zhǔn)規(guī)范的一些文檔，其相應(yīng)的發(fā)布廠商 能有較好的兼容性解決方案，具有很好的容錯能力。而第三方據(jù)此格式文檔實現(xiàn)的格式解 析工具往往不能很好的兼容各種不規(guī)范的格式文件，容錯能力差。從而造成了漏洞攻擊的 空隙，攻擊者構(gòu)造特殊的格式文檔，使得其漏洞觸發(fā)的程序可以正常解析，但是第三方的解 析工具確無法解析，從而繞過各種防御的檢測。
技術(shù)實現(xiàn)思路
本專利技術(shù)所要解決的技術(shù)問題是提供一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng) 及方法。它能夠不通過解析相應(yīng)的文檔格式從而直接進(jìn)行shellcode檢測識別。本專利技術(shù)是通過下述技術(shù)方案來解決上述技術(shù)問題的一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng),包括被檢測樣本調(diào)度模塊，用于調(diào)度每個樣本被相應(yīng)的宿主程序打開并解析內(nèi)容；內(nèi)存搜索算法模塊，用于搜索被檢測應(yīng)用的所有可讀可寫堆塊；shellcode檢測模塊，用于對搜索出來的每塊內(nèi)存進(jìn)行shellcode掃描；日志模塊，用于輸出有關(guān)檢測信息的結(jié)果。所述內(nèi)存搜索算法模塊包括堆棧內(nèi)存搜索模塊和堆內(nèi)存搜索模塊。本專利技術(shù)的重點是如何通過不解析文檔格式進(jìn)行shellcode檢測識別的思路方法。 主要通過被測試應(yīng)用的內(nèi)存搜索實現(xiàn)檢測。當(dāng)shellcode被編碼成各種形態(tài)存于文檔中時，當(dāng)被測試應(yīng)用程序解析該文 檔時，會自動進(jìn)行解碼操作，并將真實的shellcode形態(tài)還原于內(nèi)存當(dāng)中。由于無論 shellcode多么復(fù)雜的文檔格式編碼、加密、轉(zhuǎn)換，但是最終都必須要能被測試應(yīng)用程序 正常解析，否則會導(dǎo)致該攻擊無效化。因此采用直接搜索內(nèi)存的方式無須應(yīng)對各種復(fù)雜 的文檔格式、編碼，也不會造成和被測試應(yīng)用程序解析文檔的差異造成的無法解出真正的 shellcode,造成檢測防御系統(tǒng)的漏報。內(nèi)存搜索主要搜索被測試應(yīng)用的堆、堆棧。通過解析堆、堆棧的內(nèi)存結(jié)構(gòu)，從而搜 索出有效的內(nèi)存區(qū)域，加快檢測的速度。一種基于內(nèi)存搜索的shellcode的檢測方法，包括以下步驟(1)調(diào)度模塊調(diào)度被測試應(yīng)用打開被檢測文檔樣本；(2)內(nèi)存搜索算法模塊轉(zhuǎn)儲被測試應(yīng)用內(nèi)存至文件或者直接內(nèi)存搜索；(3)Shellcode檢測模塊掃描轉(zhuǎn)儲的文件來發(fā)現(xiàn)shellcode ；(4)日志輸出模塊輸出有關(guān)shellcode信息。本專利技術(shù)具有以下積極進(jìn)步效果本專利技術(shù)基于內(nèi)存搜索然后進(jìn)行shellcode檢測， 能夠有效的檢測復(fù)雜的應(yīng)用文檔格式中編碼、加密藏匿的shellcode。大大的提高了惡意攻 擊樣本的檢測率，見效誤報率和漏報率。對于Pdf復(fù)雜文檔格式中，如FlateDecode壓縮編 碼、stream關(guān)鍵字#轉(zhuǎn)義對抗、內(nèi)嵌javascript中含有shellcode等等其他各種對抗檢測 手法都可以完美解決，且不存在新的對抗問題。當(dāng)然本專利技術(shù)的技術(shù)不限于檢測上述應(yīng)用的 復(fù)雜格式藏匿shellcode,因為漏洞觸發(fā)的最終形態(tài)必然決定了 shellcode必須以原始形 態(tài)存放于內(nèi)存中，從而可以從根本上解決該類問題。附圖說明圖1是本專利技術(shù)基于內(nèi)存搜索的shellcode的檢測系統(tǒng)的方框圖；圖2是本專利技術(shù)基于內(nèi)存搜索的shellcode檢測的防御檢測方法的流程圖。具體實施方式下面結(jié)合附圖給出本專利技術(shù)較佳實施例，以詳細(xì)說明本專利技術(shù)的技術(shù)方案。參考圖1，其中示出根據(jù)本專利技術(shù)一個實施實例的基于內(nèi)存搜索的shellcode的檢 測系統(tǒng)的方框圖。請注意，在整個說明書和權(quán)利要求書中，“應(yīng)用程序”和“軟件”表示相同 的含義，并且能夠互換地進(jìn)行使用。在本專利技術(shù)的實施例中，所述基于內(nèi)存搜索的shellcode 的檢測系統(tǒng)運行在Windows操作系統(tǒng)中。然而，作為一種通用的檢測測試系統(tǒng)，所述基于內(nèi) 存搜索的shellcode的檢測系統(tǒng)能夠運行在任何操作系統(tǒng)中。所述基于內(nèi)存搜索的shellcode的檢測系統(tǒng)包括堆棧內(nèi)存搜索模塊104、堆內(nèi)存 搜索模塊106、調(diào)度模塊108、shellCOde檢測模塊110，日志輸出模塊112，堆棧內(nèi)存搜索模塊104和堆內(nèi)存搜索模塊106 —起構(gòu)成了內(nèi)存搜索算法模塊102。調(diào)度模塊108主要調(diào)度被測試應(yīng)用打開要檢測的文檔樣本。內(nèi)存搜索算法模塊 102通過堆內(nèi)存搜索模塊106和堆棧內(nèi)存搜索模塊104實現(xiàn)有效的內(nèi)存轉(zhuǎn)儲至文件中。 Shellcoed檢測模塊110掃描轉(zhuǎn)儲的文件來發(fā)現(xiàn)shellcode。日志輸出模塊112輸出最終 的檢測結(jié)果，shellcode具體的一些信息。圖2示出根據(jù)本專利技術(shù)一個實施例的基于內(nèi)存搜索的shellcode的檢測方法的流程 圖。下面結(jié)合圖1的基于內(nèi)存搜索的shellcode的檢測系統(tǒng)來詳細(xì)說明圖2的檢測方法的 流程圖。在步驟202中，調(diào)度模塊108調(diào)度被測試應(yīng)用打開要檢測的樣本文檔。在本專利技術(shù) 的實施例中，調(diào)度模塊108可以調(diào)度adobe reader、off ice文檔所有應(yīng)用等等,包括但不限 于以上所列應(yīng)用程序。在步驟204中，內(nèi)存搜索算法模塊102搜索有效的內(nèi)存塊轉(zhuǎn)儲文件中。該內(nèi)存搜 索102模塊分為2個部分，一部分是堆棧內(nèi)存搜索模塊104，另一部分是堆內(nèi)存搜索模塊 106。其中堆棧內(nèi)存搜索模塊104通過分析相應(yīng)線程的TEB結(jié)構(gòu)，獲取相應(yīng)offset所在 的StackBase字段，來獲取線程堆棧的起始地址和大小。其中堆內(nèi)存搜索模塊106通過分析進(jìn)程的PEB結(jié)構(gòu)，獲取相應(yīng)offset所在的 ProcessHeaps字段和NumberOfHeaps字段來獲取堆的范圍地址,在進(jìn)一步分析具體堆塊的 結(jié)構(gòu)從而搜索出有效的堆內(nèi)存。在步驟206中，調(diào)用shellcode檢測模塊110去掃描已經(jīng)轉(zhuǎn)儲至文件的內(nèi)存，從而 檢測 shel本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】
一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng)，其特征在于：包括：被檢測樣本調(diào)度模塊，用于調(diào)度每個樣本被相應(yīng)的宿主程序打開并解析內(nèi)容；內(nèi)存搜索算法模塊，用于搜索被檢測應(yīng)用的所有可讀可寫堆塊；shellcode檢測模塊，用于對搜索出來的每塊內(nèi)存進(jìn)行shellcode掃描；日志模塊，用于輸出有關(guān)檢測信息的結(jié)果。

【技術(shù)特征摘要】
1.一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng)，其特征在于包括 被檢測樣本調(diào)度模塊，用于調(diào)度每個樣本被相應(yīng)的宿主程序打開并解析內(nèi)容； 內(nèi)存搜索算法模塊，用于搜索被檢測應(yīng)用的所有可讀可寫堆塊； shellcode檢測模塊，用于對搜索出來的每塊內(nèi)存進(jìn)行shellcode掃描； 日志模塊，用于輸出有關(guān)檢測信息的結(jié)果。2.根據(jù)權(quán)利要求1所述的一種基于內(nèi)存搜索的shellcode的檢測系統(tǒng)，...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：方興，
申請(專利權(quán))人：南京翰海源信息技術(shù)有限公司，
類型：發(fā)明
國別省市：