高级持续威胁(APT,advanced persistent threats)会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁.传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口.为此,以资源为诱饵的诱捕防御是确保网络安全的必要补充.诱捕机制包含诱饵设计和攻击检测两部分,通过感知与诱饵的交互行为,推断可能的未授权访问或者恶意攻击.针对文件、数据、代码3种诱饵类型,设计诱饵的自动构造方案并进行部署,从真实性、可检测性、诱惑性等方面对诱饵的有效程度进行度量.基于诱捕防御的勒索软件检测注重诱饵文件的部署位置,在漏洞检测领域,通过注入诱饵代码来检测代码复用攻击.介绍了在APT攻击各个阶段实施诱捕防御的相关研究工作,从诱饵类型、诱饵生成、诱饵部署、诱饵度量方面刻画了诱捕防御的机理;同时,剖析了诱捕防御在勒索软件检测、漏洞检测、Web安全方面的应用.针对现有的勒索软件检测研究在诱饵文件设计与部署方面的不足,提出了用于检测勒索软件的诱饵动态更新方法.讨论了诱捕防御面临的挑战,希望诱捕防御可以为发现未知攻击、溯源攻击意图提供理论和技术支持.

高级持续威胁;代码复用攻击;控制流完整性;地址随机化;诱捕防御

傅建明;刘畅;解梦飞;罗陈可

空天信息安全与可信计算教育部重点实验室,湖北武汉430072;武汉大学国家网络安全学院,湖北武汉430072

网络与信息安全学报

[1]傅建明;刘畅;解梦飞;罗陈可-.基于诱捕的软件异常检测综述)[J].网络与信息安全学报,2022(01):15-29

高级持续威胁,不可执行,地址随机化,诱捕防御,代码复用攻击

异常检测,APT,advanced,persistent,threats,自动加载,攻击行为,绕过,堆栈,控制流完整性,时间窗口,诱饵,攻击检测,过感知,交互行为,恶意攻击,行部,可检测性,诱惑性,行度,勒索,漏洞检测,检测领域,各个阶段,动态更新,更新方法,未知攻击,攻击意图

0.21584