超级会员免费看
针对网络级仿真/分析的蜂群攻击
一、引言
在传统的控制劫持攻击中,攻击者通常发送一个带有合适“协议帧”的恶意输入,触发目标漏洞,同时附带一个自包含的有效载荷,一旦执行就能实现攻击目标。当恶意输入被处理时,某些控制数据结构会被覆盖,从而几乎立即将控制权转移到攻击者的有效载荷上。许多安全系统也是基于这种简单的攻击模型设计的,通常默认攻击者不会将攻击代码分割成多段,通过多次利用漏洞来执行。
然而,本文提出了一种名为“蜂群攻击”的策略。攻击者故意违反上述假设,多次利用同一漏洞,每次仅执行攻击目标的一小部分。令人惊讶的是,通过将攻击代码分割成多个部分,攻击者可以避开我们研究的八个网络级仿真/分析系统中的至少七个。这种攻击的设计很简单,将攻击分为n + 1次控制劫持实例。前n次实例会将真正解码器的一部分写入被攻击进程地址空间的预定区域,第n + 1次实例则将劫持的控制权导向刚刚构建好的解码器。在这种攻击下,每个攻击实例中的未编码指令数量可减少到10条以下,且这些未编码的有效载荷看起来对攻击没有任何实际作用。
二、相关工作
网络入侵检测通常有三种方法:
1. 签名匹配 :这是最传统的方法,通过匹配已知攻击的特征来检测入侵。
2. 异常检测 :将观察到的流量属性与已知正常流量的属性进行比较,通常将分析的流量视为字节包,使用统计方法判断是否为攻击。例如,PAYL根据字节频率分布区分正常流量和攻击流量。
3. 网络级仿真/分析 :定位传入流量中的可执行代码,并分析提取的代码,判断是随机数据还是实际的攻击代码。
本文
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
