一种基于动态行为映射模型的shellcode检测方法

作     者：花超 唐黎 康绯 HUA Chao;TANG Li;KANG Fei

作者机构：数学工程与先进计算国家重点实验室河南郑州450001 江南计算技术研究所江苏无锡214083 

出 版 物：《信息工程大学学报》 (Journal of Information Engineering University)

年 卷 期：2015年第16卷第1期

页      面：117-122页

学科分类：08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主　　题：shellcode 自修改 分段执行 动态行为映射 行为轨迹序列 自动机 

摘      要：提出了一种基于动态模拟执行的shellcode分析与检测方法。该方法针对当前自修改和分段执行类shellcode的特点,建立动态行为映射模型严格刻画了shellcode模拟动态行为过程特征,给出了关于自修改和分段执行类shellcode的行为轨迹序列,然后设计了基于有限状态自动机的快速检测算法并实现了原型系统。实验结果表明,该方法能够有效检测当前自修改与分段执行类shellcode,并且与现有主流shellcode检测工具相比,可以达到较好的检测效果。