[发明专利]一种网络攻击检测方法

说明书

技术领域

本发明属于计算机网络安全领域，具体涉及一种用于检测计算机网络攻击的方法。

背景技术

缩略语和关键术语定义：

Network Intrusion Detection System(NIDS)：网络入侵检测系统。

Abstract Executable：一个字节串被称为是Abstract Executable，如果它能被反汇编解释为一串连续的合法指令。

Instruction Chains(IC)：一个不包含跳转指令的合法指令序列，通常以跳转指令或非Abstract Executable字节结尾。

Executalbe Length(EL)：一个字节序列从某个位置开始可反汇编的合法指令的条数。

Maximun Executable Length(MEL)：一个字节序列的MEL，被定义为从字节序列的任意位置开始可反汇编的合法指令的条数中的最大值。

Shellcode：可以将shellcode不严格的定义为攻击代码，其作用主要有提升权限，下载文件，执行程序等。

Sled：通俗的说，sled就是位于攻击数据包中，在shellcode之前运行，并且从sled的任何位置开始运行都最终都可以正确运行到shellcode。

Payload：数据包中除去头剩下的部分。

随着计算机网络的迅速普及和各种网络新业务的不断兴起，各种网络攻击开始渗透到计算机应用的许多领域，并且变得越来越严峻。网络攻击包括了DDOS攻击，蠕虫攻击和黑客入侵等，采用的方法和技术多是软件漏洞的利用，网络攻击通过漏洞进入目标计算机中，然后控制目标计算机，对目标计算机造成破坏。对于普通的PC用户而言，感受最为直接的应该是蠕虫攻击了，蠕虫是一种不需要人为参与就可以自动完成传播，感染和破坏的二进制程序。2001年爆发的Nimda网络蠕虫，其所造成的损失评估数据从5亿美元攀升到26亿美元，后来继续攀升，到现在已经无法估计。目前蠕虫爆发频率越来越快，近两年出现了大量的新蠕虫和蠕虫变种。因此，迫切需要一种高效，精确的网络攻击检测方法发现及时发现网络攻击，遏制网络攻击的蔓延。

许多的网络服务都以C/S结构运行，这些网络服务接受用户的输入，并经过处理后转化为输出。C/S结构的服务端通常会分配内存空间用于存储客户端的输入数据，通常服务程序会对输入数据进行解析，但不会对输入数据的长度等做出限制，因此一些不安全的字符串函数将可能导致缓冲区溢出，网络攻击方会利用缓冲区溢出漏洞执行shellcode。图1列出了部分C语言的非安全函数。图2给出了标准的栈的结构，攻击者可以通过巧妙的构造攻击数据包，覆盖函数的返回地址，并将返回地址指向攻击者的shellcode，从而可以达到攻击和破坏服务器的目的。

网络攻击是否成功的关键在于攻击者构造的攻击数据包，可不可以精确地把函数返回地址指向shellcode，如果不能，那么攻击将会失败。往往攻击者是不能精确定位shellcode的，这和操作系统版本等有关系，但可以粗略确定shellcode在某一个范围内，因此，攻击者会在数据包中加入sled，一个普通的攻击数据包如图3。Intel体系架构下有许多单字节指令，这些单字节指令并不常用，而且执行后对整个程序不造成影响，攻击者一般选用这些指令作为sled，因为这养构成的sled自然满足从任何位置执行都能正确执行到shellcode。图4是一些单字节指令的例子。单字节指令并不是必须的，攻击者通过精巧的涉及使得利用比较常用的多字节指令同样可以构造sled，并且可以保证同样满足从任何位置开始执行都能正确执行到shellcode。图5就是一个多字节指令构造sled的例子。

从总体上讲，攻击者的攻击手段越来越丰富，越来越复杂，现有的检测方法都只能针对某一类或者采用某种攻击方式的网络攻击进行检测，尽管现在的检测系统很多，但都存在明显缺陷，总体效果并不好。