隨著軟體應用程式與網際網路的發展,其所伴隨而來的安全問題也日益嚴重。緩衝區溢位是軟體寫作上不可避免的問題,根據每年的安全通報上顯示許多安全上的漏洞都是源自於緩衝區溢位,也造成駭客入侵攻擊的重大來由。一般軟體應用程式的使用者通常只能依靠軟體廠商發布的更新來防止因緩衝區溢位造成的攻擊,於是在尚未使用更新前,如何避免軟體遭受到緩衝區溢位攻擊、儘量延長軟體使用的安全時效是個防治緩衝區溢位的重點。而由搜集並分析駭客使用的攻擊探測碼可建立起整體緩衝區溢位攻擊手法的模式,並可將此模式作為防治未來緩衝區溢位攻擊的基礎。
關聯規則法能夠發掘未知事物之間的關聯性,所以可協助建立緩衝區溢位攻擊其間共有的特徵模式。於是本研究應用關聯規則法建立緩衝區溢位的攻擊模式,找出攻擊探測碼裡面的系統呼叫關係,實驗並建立一群可區分攻擊行為與正常行為的系統呼叫規則,這些規則能夠正確地偵測出緩衝區溢位攻擊,在誤判率也有很好的表現,進而能夠協助在偵測到攻擊後的防範措施,降低系統遭受緩衝區溢位攻擊的嚴重性。
|