基于硬件的动态指令集随机化框架的设计与实现

针对现有的指令集随机化方法存在从代码段中剥离数据困难、静态指令集随机化密钥固定和伪随机数密钥不安全等问题,设计并实现了基于硬件的动态指令集随机化框架(HDISR),通过在装载程序时加密程序代码,将指令集随机化引入内核层和应用层的安全防护,内核使用单独的内核密钥,不同的应用程序使用不同的用户密钥。实验结果表明,HDISR能将代码注入攻击降级为拒绝服务攻击,且额外硬件损耗少于2.57%,每兆字节代码加密的启动延时0.31 s。

基于指令集随机化的代码注入型攻击防御技术

针对当前代码注入型攻击防御机制容易被绕过的现状,提出一种基于指令集随机化的防御技术。该技术制定了指令集随机化规则,利用该规则改变obj文件中的指令,从而实现了指令集的随机化。外部注入代码与生成的指令集不兼容,经过动态二进制分析平台翻译后,程序代码正常执行而注入代码变为乱码。基于该技术设计了一套原型系统,并通过大量实验表明可以防御大部分代码注入型攻击。该技术打破了缓冲区溢出漏洞利用所需要的稳态环境,实现了对攻击的主动防御。

基于指令集随机化的抗代码注入攻击方法

代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网(Generalized Stochastic Petri Net,GSPN)建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。

基于指令集随机化的SQL注入防御技术研究

WEB应用程序广泛受到SQL注入攻击的威胁,SQL攻击易于实施且危害严重。分析了现有的各种防范技术,在此基础上提出了一种基于指令集随机化技术的SQL注入防范原型系统。该系统首先对SQL关键字经过特殊的随机化处理,然后与用户输入组装成完整的SQL语句,再使用随机化的SQL语法分析程序对语句是否存在注入进行判定。系统的实现不依赖于现有WEB应用程序和服务器平台。实验表明,此系统具有较好的防范SQL注入的效果和较低的运行开销。

基于指令集随机化的XSS检测和防御系统

针对Web遭受跨站脚本攻击越来越严重的问题,设计了一个基于指令集随机化的服务器端XSS检测和防御模型,并在PhpBB网络论坛系统中进行了实现,通过对实验结果的分析可知,本系统可以很好地检测和防御反射型XSS攻击和存储型XSS攻击,同时能检测和防御因网络或操作系统层漏洞导致的网页篡改和网页挂马等恶意攻击行为。

实时随机SQL注入攻击检测方法的研究

针对WEB应用系统的攻击成为了互联网安全攻防的新焦点,在对WEB应用系统中的所有攻击,SQL注入成为WEB应用系统中非常严重的安全问题,需要我们对SQL注入攻击实施全面有效地防御。本文对SQL注入攻击和防御措施进行深入的研究。

移动目标防御(MTD)关键技术研究

移动目标防御(Moving Target Defense,MTD)技术是近年来网络空间中"改变游戏规则"的革命性技术之一。它与以往的网络安全技术完全不同,变被动防御为主动防御,其系统和网络状态随着时间、空间以及物理环境等多个维度的变化而不断改变,从而增加入侵者的入侵难度,有效限制己方漏洞暴露的概率。因此,移动目标防御将成为未来网络安全防护技术的重点发展方向。综合研究了MTD主要关键技术及其发展脉络,通过比较分析,提出了目前关键技术的优缺点,并结合网络技术的演化展望了MTD技术的发展前景。

自适应混合入侵防御

提出一个应用混合的方法来阻止破坏主机安全的二进制代码注入式攻击并具有自适应能力的入侵防御系统模型(Feedback Learning IPS,FLIPS)。它包括三个主要组成部分:基于异常的分类器,基于签名的过滤系统,和采用指令集随机化(Instruction Set Randomization,ISR)的监管框架。ISR可以准确识别注入的代码,以这种反馈为基础对分类器和过滤器进行调整,并允许FLIPS对捕捉到的注入代码构建零日攻击签名。经试验表明,该模型能够丢弃那些匹配异常或已知的恶意输入,从而有效地保护应用程序免受攻击。

基于多版本冗余进程的容侵系统

针对利用多样性防御入侵和容忍入侵的典型方法的不足,提出了一种在操作系统的系统调用层上实现的多版本冗余进程的容侵系统。采用指令集随机化实现了多版本的冗余进程,并且利用冗余进程间系统调用的一致性,通过封装Linux内核中系统调用,实现了容侵系统的分发器、比较器。实验证明:该系统能有效地容忍针对恶意代码注入类型的入侵。