本发明专利技术公开了一种基于防御蜜罐的安全威胁主动感知方法,其基于对Hook技术的理解,通过分析系统函数的执行Trace来判定防御蜜罐是否截获测试函数,首先通过向不可信进程注入并执行待检测系统函数来获取函数的指令执行记录(Trace),进一步根据防御蜜罐截获系统函数Trace的特点,设计了地址空间有限状态自动机,并在自动机内分析获取的Trace来判别防御蜜罐截获的系统函数,最后,遍历测试函数集来识别目标防御蜜罐的威胁感知。本发明专利技术能识别目标防御蜜罐的威胁感知,与已有的威胁感知识别方法相比,本发明专利技术具有相同的防御蜜罐威胁感知识别能力,同时,更为自动化,效率更高。
【技术实现步骤摘要】
基于防御蜜罐的安全威胁主动感知方法
本专利技术涉及一种安全威胁主动感知方法,特别是一种基于防御蜜罐的安全威胁主动感知方法。
技术介绍
随着计算机技术的迅猛发展,主动防御技术已经逐渐取代被动防御技术,成为现今计算机安全的主要研究方向。虽然防火墙和入侵检测技术的应用仍然非常普遍,但是面对着攻击手段的日趋多样化和网络安全要求的不断提高,检测已经发生的入侵(被动检测)已经不能满足计算机安全的要求,现代安全更多强调的是主动防御,提前防御。因此,主动防御技术将会越来越受到人们的关注,主动防御技术试图牵制和转移攻击行为,对攻击方法进行技术分析和取证,对攻击者进行监视和跟踪,并且有可能获得未知的攻击技术资料。蜜罐技术就是一种非常典型的主动防御技术,它可以诱骗入侵者进行攻击,从而监视和跟踪入侵者的行为并已日志形式记录,然后借助一定的工具进行分析,掌握学习入侵者的工具、策略和方法,从而相应地提高计算机安全。因此需要设计一种基于蜜罐技术的主动防御技术。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于防御蜜罐的安全威胁主动感知方法。为解决上述技术问题,本专利技术所采用的技术方案是:一种基于防御蜜罐的安全威胁主动感知方法,其特征在于包含以下步骤:步骤一:函数注入地址选择,选择不可信进程的NOP、HLT指令填充内存区域;步骤二:向不可信进程注入并执行待检测系统函数;步骤三:获取函数的指令执行记录;步骤四:建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型;步骤五:识别防御蜜罐截获行为;步骤六:根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数;步骤七:遍历测试函数集;步骤八:识别目标防御蜜罐的威胁感知。进一步地,所述步骤二具体过程为向不可信进程注入并执行待检测系统函数;系统函数s:s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性;在不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,使用公式(1)选择多个ms注入系统函数;其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。进一步地,所述步骤三具体为记访问系统函数A的Trace为T(A);其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr。进一步地,所述步骤四具体为地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC,q1状态表示指令位于OS,q2状态表示指令位于SC;ξ是M的输入表,由于M的状态转换是由执行指令实现的,因此,ξ包括所在系统提供的所有指令,并且根据威胁感知分析的需要,将指令分为九类,并提供其地址空间转换语义;δ是M的状态转换函数,且进一步地,所述步骤五具体为不可信进程调用系统函数时,Trace地址空间转换情况包含a、b、c、d、e五种情况,其中a表示函数未被防御蜜罐截获,Trace中的指令只属于程序地址空间和系统地址空间;b、c表示防御蜜罐在系统地址空间实现系统函数的截获的地址空间转换情况;d、e表示防御蜜罐在不可信进程地址空间实现截获的地址空间转换情况;五种不同情况中q2是防御蜜罐截获系统函数的标志,通过判断Trace中是否包含q2以识别是否存在截获行为。进一步地,所述步骤六具体为防御蜜罐截获不可信进程访问系统函数会使不可信进程的控制流转移到防御蜜罐地址空间,即或分析Trace中是否包含d类、h类指令判断是否存在防御蜜罐截获行为;采用指令地址关系来识别防御蜜罐截获的系统函数,任一正常执行的函数调用在指令层面表现为存在调用指令c和相应的返回指令r,且两者满足c.saddr=r.taddr,两者之间执行的指令都为该函数对应的指令,通过d类、h类指令所在的<c,r>范围来识别防御蜜罐截获的系统函数;使用公式(2)来判断防御蜜罐截获的系统函数,使用前两个式子选择满足指令范围限制的<c,r>,进一步选择包含d、h类指令的最小<c,r>对作为识别的防御蜜罐截获的系统函数,其中,用m代表d类、h类指令,k表示Trace中包含的<c,r>数量;本专利技术与现有技术相比,具有以下优点和效果:1、防御蜜罐使用多种Hook技术实现威胁感知,已有的Hook识别方法关注钩子的存在性,即判断系统中是否存在钩子,而已有的工具则只识别部分特定类型的钩子,不适合防御蜜罐威胁感知的识别,该专利技术则解决了该问题,能识别目标防御蜜罐的威胁感知。2、与已有的威胁感知识别方法相比,本专利技术具有相同的防御蜜罐威胁感知识别能力,同时,更为自动化,效率更高。附图说明图1是本专利技术的基于防御蜜罐的安全威胁主动感知方法的流程图。图2是本专利技术的ξ中元素的类型图。图3是本专利技术的状态转换函数δ图。图4是本专利技术的Trace地址空间转换示意图。图5是本专利技术的系统函数识别的误报成因图。图6是本专利技术的指令转换规则表1图。具体实施方式下面结合附图并通过实施例对本专利技术作进一步的详细说明,以下实施例是对本专利技术的解释而本专利技术并不局限于以下实施例。如图1所示,本专利技术的一种基于防御蜜罐的安全威胁主动感知方法,具体步骤如下:步骤一,函数注入地址选择,选择不可信进程的NOP、HLT等指令填充内存区域。在Windows系统中,由于程序使用NOP、HLT指令填充程序的代码段来保证指令对齐,为了不破坏不可信进程自身的功能代码,选择NOP、HLT指令填充的区域为可注入地址区域ms。步骤二,向不可信进程注入并执行待检测系统函数。系统函数(s):s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性。当不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,我们使用公式(1)选择多个ms注入系统函数。其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。步骤三,获取函数的指令执行记录Trace。记访问系统函数A的Trace为T(A)。其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr。步骤四,建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型。地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC,q1状态表示指令位于OS,q2状态表示指令位于SC;ξ是M的输入表,由于M的状态转换是由执行本文档来自技高网...
【技术保护点】
1.一种基于防御蜜罐的安全威胁主动感知方法,其特征在于包含以下步骤:步骤一:函数注入地址选择,选择不可信进程的NOP、HLT指令填充内存区域;步骤二:向不可信进程注入并执行待检测系统函数;步骤三:获取函数的指令执行记录;步骤四:建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型;步骤五:识别防御蜜罐截获行为;步骤六:根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数;步骤七:遍历测试函数集;步骤八:识别目标防御蜜罐的威胁感知。
【技术特征摘要】
1.一种基于防御蜜罐的安全威胁主动感知方法,其特征在于包含以下步骤:步骤一:函数注入地址选择,选择不可信进程的NOP、HLT指令填充内存区域;步骤二:向不可信进程注入并执行待检测系统函数;步骤三:获取函数的指令执行记录;步骤四:建立描述不可信进程调用系统函数的指令地址转换的有限状态自动机模型;步骤五:识别防御蜜罐截获行为;步骤六:根据自动机内状态转换指令的位置来识别防御蜜罐截获的系统函数;步骤七:遍历测试函数集;步骤八:识别目标防御蜜罐的威胁感知。2.按照权利要求1所述的一种基于防御蜜罐的安全威胁主动感知方法,其特征在于:所述步骤二具体过程为向不可信进程注入并执行待检测系统函数;系统函数s:s是用于测试的系统函数,包括函数参数信息params和所需内存大小length两个属性;在不存在单个ms大于注入函数长度的情况下,为了保证注入的函数不破坏进程的内存布局,使用公式(1)选择多个ms注入系统函数;其中,式1用于限制选择的ms至少可以容纳一个直接跳转指令DJMP和任一指令;式2用于保证选择尽可能少的ms用于注入系统函数。3.按照权利要求1所述的一种基于防御蜜罐的安全威胁主动感知方法,其特征在于:所述步骤三具体为记访问系统函数A的Trace为T(A);其中,T(A)={i1,i2,...ik...,im-1,im}是执行的指令集合,ik=<no,op,saddr,taddr>是Trace中第k个指令的信息,包括指令操作码op、所在地址saddr、指令的执行顺序no以及下一条执行指令的地址taddr。4.按照权利要求1所述的一种基于防御蜜罐的安全威胁主动感知方法,其特征在于:所述步骤四具体为地址空间有限状态自动机M=<Q,q0,ξ,q0,δ>,Q是地址空间状态集合,包括q0,q2,q1三个元素,其中,q0状态表示指令位于PC...
【专利技术属性】
技术研发人员:李千目,孙哲,侯君,孙康,尤丽荣,
申请(专利权)人:江苏中天科技软件技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。