[发明专利]基于内存搜索的shellcode的检测系统及方法

说明书

技术领域

本发明涉及网络安全入侵检测防御领域，具体是指一种基于内存搜索的shellcode的检测系统及方法。

背景技术

利用缓冲区溢出安全漏洞以及其他内存内存安全漏洞是进行网络攻击、获取系统控制权的重要手段，因此，针对该类型漏洞攻击的防御技术是网络安全领域研究的重要内容。

由于上述主要的漏洞攻击中具体的功能实现必须要通过shellcode来完成，因此攻击者发生的漏洞载体数据中一定保护shellcode，当前将检测是否存在shellcode作为判断漏洞攻击的主要手段。

当前主流的攻击软件载体主要是微软office文档、adobe pdf 、adobe flash、ie browser等最流行的软件。因此这些主流的文档是漏洞攻击的主要目标，shellcode也主要存在该类文档中。目前常规的IDS/IPS/Anti AV网络安全防御设备都是采用基于格式解析从而检测shellcode的技术，对于该类shellcode检测都必须要先对具体的文档格式进行解析，解析出原始的数据流之后，在进行相应的shellcode检测。

该类技术主要优点在于：

可以部署在网关层，直接解析网络数据包中相应的文件格式，从而直接扫描shellcode。

速度快，在要求实时性网络安全防御中具有较大的优势。

同时该类技术存在相应的缺点：主流的文档格式其中office、pdf、flash等文档格式，该类格式非常复杂，虽然office、pdf等格式已有公开的格式文档说明，但是按照对应格式实现相应的格式解析工具非常耗时、耗人力成本。同时这些公开的格式文档只是提供了该类文档格式的标准规范，对于不按照此类标准规范的一些文档，其相应的发布厂商能有较好的兼容性解决方案，具有很好的容错能力。而第三方据此格式文档实现的格式解析工具往往不能很好的兼容各种不规范的格式文件，容错能力差。从而造成了漏洞攻击的空隙，攻击者构造特殊的格式文档，使得其漏洞触发的程序可以正常解析，但是第三方的解析工具确无法解析，从而绕过各种防御的检测。

发明内容

本发明所要解决的技术问题是提供一种基于内存搜索的shellcode的检测系统及方法。它能够不通过解析相应的文档格式从而直接进行shellcode检测识别。

本发明是通过下述技术方案来解决上述技术问题的：

一种基于内存搜索的shellcode的检测系统，包括：

被检测样本调度模块，用于调度每个样本被相应的宿主程序打开并解析内容；

内存搜索算法模块，用于搜索被检测应用的所有可读可写堆块；

shellcode检测模块，用于对搜索出来的每块内存进行shellcode扫描；

日志模块，用于输出有关检测信息的结果。

所述内存搜索算法模块包括堆栈内存搜索模块和堆内存搜索模块。

本发明的重点是如何通过不解析文档格式进行shellcode检测识别的思路方法。主要通过被测试应用的内存搜索实现检测。

当shellcode被编码成各种形态存于文档中时，当被测试应用程序解析该文档时，会自动进行解码操作，并将真实的shellcode形态还原于内存当中。由于无论shellcode多么复杂的文档格式编码、加密、转换，但是最终都必须要能被测试应用程序正常解析，否则会导致该攻击无效化。因此采用直接搜索内存的方式无须应对各种复杂的文档格式、编码，也不会造成和被测试应用程序解析文档的差异造成的无法解出真正的shellcode，造成检测防御系统的漏报。

内存搜索主要搜索被测试应用的堆、堆栈。通过解析堆、堆栈的内存结构，从而搜索出有效的内存区域，加快检测的速度。

一种基于内存搜索的shellcode的检测方法，包括以下步骤：

（1）调度模块调度被测试应用打开被检测文档样本；

（2）内存搜索算法模块转储被测试应用内存至文件或者直接内存搜索；

（3）Shellcode检测模块扫描转储的文件来发现shellcode；

（4）日志输出模块输出有关shellcode信息。