期刊导航
期刊开放获取
河南省图书馆
退出
期刊文献
+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
检索
高级检索
期刊导航
共找到
1
篇文章
<
1
>
每页显示
20
50
100
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
显示方式:
文摘
详细
列表
相关度排序
被引量排序
时效性排序
一种基于双模式虚拟机的多态Shellcode检测方法
被引量:
1
1
作者
罗杨
夏春和
+2 位作者
李亚卓
魏昭
梁晓艳
《计算机研究与发展》
EI
CSCD
北大核心
2014年第8期1704-1714,共11页
近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcod...
近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.
展开更多
关键词
多态Shellcode
GetPC定位
指令识别
虚拟机
控制流模式
数据流模式
Define-Use链
下载PDF
职称材料
题名
一种基于双模式虚拟机的多态Shellcode检测方法
被引量:
1
1
作者
罗杨
夏春和
李亚卓
魏昭
梁晓艳
机构
北京航空航天大学网络技术北京市重点实验室
出处
《计算机研究与发展》
EI
CSCD
北大核心
2014年第8期1704-1714,共11页
基金
国家自然科学基金项目(61170295)
国防基础科研计划项目(A2120110006)
+1 种基金
北京市教育委员会共建项目建设计划项目(JD100060630)
中航工业产学研项目(CXY2011BH07)
文摘
近年来,Shellcode攻击通常利用多态技术进行自我加密来绕过网络层设备的检测,而现有检测方法无法区分多态Shellcode与加壳保护代码.提出了一种基于双模式虚拟机的多态Shellcode检测方法,该方法改进了现有的GetPC定位机制,实现了Shellcode的初步定位,通过IA-32指令识别对网络流量的进行进一步过滤,利用有限自动机及其判别条件实现虚拟机控制流模式和数据流模式之间的切换,并通过结合现有的特征匹配技术实现对多层加密的多态Shellcode的检测.实验结果表明,针对大量真实的网络数据,该方法在保证高检测召回率的同时,能够实现对多态Shellcode与加壳保护软件的有效区分,避免了对正常流量的误报行为,并且时间开销介于静态分析与动态模拟之间,为网络层检测多态Shellcode提供了一种有效方法.
关键词
多态Shellcode
GetPC定位
指令识别
虚拟机
控制流模式
数据流模式
Define-Use链
Keywords
polymorphic shellcode
GetPC location
instruction recognition
virtual machine
control- flow mode (cfm)
data-
flow
mode
(DFM)
Define-Use chain
分类号
TP393 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
作者
出处
发文年
被引量
操作
1
一种基于双模式虚拟机的多态Shellcode检测方法
罗杨
夏春和
李亚卓
魏昭
梁晓艳
《计算机研究与发展》
EI
CSCD
北大核心
2014
1
下载PDF
职称材料
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
上一页
1
下一页
到第
页
确定
用户登录
登录
IP登录
使用帮助
返回顶部
