【技术实现步骤摘要】
本专利技术涉及网络安全入侵检测防御领域,具体是指一种基于内存搜索的 shellcode的检测系统及方法。
技术介绍
利用缓冲区溢出安全漏洞以及其他内存内存安全漏洞是进行网络攻击、获取系统 控制权的重要手段,因此,针对该类型漏洞攻击的防御技术是网络安全领域研究的重要内容。由于上述主要的漏洞攻击中具体的功能实现必须要通过shellcode来完成,因此 攻击者发生的漏洞载体数据中一定保护shellcode,当前将检测是否存在shellcode作为 判断漏洞攻击的主要手段。当前主流的攻击软件载体主要是微软office文档、adobe pdf > adobe flash、ie browser等最流行的软件。因此这些主流的文档是漏洞攻击的主要目标,shellcode也主要 存在该类文档中。目前常规的IDS/IPS/Anti AV网络安全防御设备都是采用基于格式解析 从而检测shellcode的技术,对于该类shellcode检测都必须要先对具体的文档格式进行 解析,解析出原始的数据流之后,在进行相应的shellcode检测。该类技术主要优点在于可以部署在网关层,直接解...
【技术保护点】
一种基于内存搜索的shellcode的检测系统,其特征在于:包括:被检测样本调度模块,用于调度每个样本被相应的宿主程序打开并解析内容;内存搜索算法模块,用于搜索被检测应用的所有可读可写堆块;shellcode检测模块,用于对搜索出来的每块内存进行shellcode扫描;日志模块,用于输出有关检测信息的结果。
【技术特征摘要】
1.一种基于内存搜索的shellcode的检测系统,其特征在于包括 被检测样本调度模块,用于调度每个样本被相应的宿主程序打开并解析内容; 内存搜索算法模块,用于搜索被检测应用的所有可读可写堆块; shellcode检测模块,用于对搜索出来的每块内存进行shellcode扫描; 日志模块,用于输出有关检测信息的结果。2.根据权利要求1所述的一种基于内存搜索的shellcode的检测系统,...
【专利技术属性】
技术研发人员:方兴,
申请(专利权)人:南京翰海源信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。